4 edicao janeiro_29_01_2012
-
Upload
igor-ribeiro -
Category
Documents
-
view
1.090 -
download
0
description
Transcript of 4 edicao janeiro_29_01_2012
LICENCcedilA
Janeiro 2012 bull segurancadigital info
Dar creacutedito ao autor original e a Comunidade Seguranccedila Digital citando onome do autor (quando disponiacutevel) e endereccedilo da comunidade
Vocecirc natildeo pode uti l izar esta obra como fonte comercial Este direito eacute de totalexclusividade do titular responsaacutevel por manter o site Seguranccedila Digital
VOCEcirc PODE
COM AS SEGUINTES CONDICcedilOtildeES
Copiar distribuir e exibir a obra
O Projeto Seguranccedila Digital apoacuteia o comparti lhamento gratuito de informaccedilotildees e conhecimento mas
ao mesmo tempo defende o fato de que ao distribuir a obra de outra pessoa ou entidade vocecirc
deveraacute citar a fonte original desta dando assim creacutedito ao seu autor Esta revista natildeo poderaacute ser
comercializada sem autorizaccedilatildeo preacutevia do responsaacutevel Faacutebio Jacircnio Lima Ferreira
O Projeto Seguranccedila Digital garante a gratuidade desta ediccedilatildeo A mesma poderaacute ter uma versatildeo
impressa paga poreacutem a versatildeo digital natildeo poderaacute em hipoacutetese alguma ser comercializada Soacute seraacute
permitida uma versatildeo impressa para cunho comercial sobre autorizaccedilatildeo preacutevia do titular da
comunidade A comercializaccedilatildeo da versatildeo impressa desta revista sem autorizaccedilatildeo preacutevia constitui
crime previsto nas leis nordm 6895 e 10695
Paraacutegrafo que respalda esta revista
sect 1ordm Lei nordm 6895 shy Se a violaccedilatildeo consistir em reproduccedilatildeo por qualquer meio com intuito de lucro de
obra intelectual no todo ou em parte sem a autorizaccedilatildeo expressa do autor ou de quem o
represente ou consistir na reproduccedilatildeo de fonograma ou videograma sem autorizaccedilatildeo do produtor
ou de quem o represente
Cada autor eacute responsaacutevel por seu artigo desta forma a comunidade Seguranccedila Digital natildeo se
responsabil iza por quebra de direitos autorais por qualquer colaborador
02
EDITORIAL
ldquoNenhum plano de batalha sobrevive ao contato com o inimigordquo Esta maacutexima
atribuiacuteda ao estrategista alematildeo herr Helmuth pode ser muito facilmente aplicashy
da as mais diversas aacutereas Mesmos os melhores planos sejam eles passar
com seu Transatlacircntico recheado de turistas mais perto de uma ilha fazer uma
reforma no seu escritoacuterio ou manter uma publicaccedilatildeo bimestral sobre seguranccedila
da informaccedilatildeo iratildeo encontrar contratempos
A realidade eacute que dificuldades sempre existiratildeo e todos os nossos planos deshy
vem levar em consideraccedilatildeo esse fator muitas vezes imprevisiacutevel e optar entre
ter uma boa capacidade de adaptaccedilatildeo ou falhar miseravelmente
Jaacute nos acostumamos com a ideia de viver em um mundo de constante mudanshy
ccedila fato este refletido na nossa mateacuteria de capa que fala das previsotildees para esshy
te ano que promete trazer cada vez mais a tecnologia para dentro do nosso dia
a dia juntamente com suas oacutebvias vantagens e riscos criando cada vez mais
paradoxos que por vezes caem no colo da equipe de seguranccedila da informashy
ccedilatildeo afinal como dizia o poeta romano Juvenal ldquoQuis custodiet ipsos custoshy
desrdquo Quem vai cuidar do crescente nuacutemero de hacktivistas anocircnimos muitos
dos quais possuidores de uma ideologia inocente que pode lhes deixar cegos
perante os longos cordotildees que os prendem feito marionetes
Como se reflete em nosso comportamento um mundo onde cada passo que
damos eacute acompanhado seja no mundo corporativo onde o monitoramento muishy
tas vezes natildeo eacute uma opccedilatildeo quando fazemos uma ligaccedilatildeo ou mandamos um eshy
mail ou mesmo em redes sociais onde escolhemos expor nosso cotidiano penshy
samentos e problemas A membrana invisiacutevel que separa real e virtual estaacute
cada vez mais fina Entender este e outros aspectos da tecnologia passou a
ser o papel natildeo apenas do batalhatildeo de Sheldon Coopers e sim de gestores jushy
ristas psicoacutelogos e socioacutelogos
Quando seguranccedila demais passa a ser pouca seguranccedila Quantos testes de
invasatildeo mostraram que herr Helmuth estava certo e levaram por aacutegua abaixo
as melhores arquiteturas de seguranccedila que ficaram obsoletas antes mesmo da
tinta virtual secar
Neste contexto trazemos mais uma vez a revista Seguranccedila Digital com o objeshy
tivo de fomentar esse duelo de opiniotildees divergentes e a ousadia de levar a voshy
cecirc ndash nosso cariacutessimo leitor ndash nossos questionamentos experiecircncias erros e
acertos
Sejam todos bem vindos
Klaatu barada nikto
Por Claudio Dodt
Janeiro 2012 bull segurancadigital info
DIRETORshyGERALFaacutebio Jacircnio Lima Ferreirafabiojaniosegurancadigital info
EDITORshyCHEFEClaudio Dodtccdodtgmailcom
Johnantan Pereirajohnantanpereiragmailcom
Luiz Felipe Ferreiralfferreiragmailcom
EDITOR DE ARTEHeacutelio Joseacute Santiago Ferreiraheliojsfgmailcom
COLUNISTASBruno Cesar M de Souzabrunosouzaablesecuritycombr
Gilberto Sudregilbertosudrecombr
Julio Carvalhojul ioinfogmailcom
Liacutegia Barrosoligiabarrosohotmail com
Naacutegila Magalhatildeesnagilamagalhaesgmailcom
Thiago Fernandes G Caixetathiagocaixetagmailcom
REVISAtildeOAndre Luizaluiz204gmailcom
Mauro Juacuteniormaurompjuniorgmailcom
Raiana Pereiraraianagomesyahoocombr
Na Internet
http twittercom_SegDigital
wwwfacebookcomsegurancadigital
wwwyoutubecomsegurancadigital
wwwsegurancadigital info
Johnantan Pereira
Analista de Seguranccedila Graduado em Redes de
Computadores pela Faculdade Estaacutecio do Cearaacute
com Extensatildeo em Periacutecia Forense
Computacional Apaixonado por Tecnologia
Admirador e Pesquisador da Cultura Hacker
Usuaacuterio e Ativista Linux
Faacutebio Jacircnio Lima Ferreira
Analista de suporte teacutecnico e administrador
de redes tambeacutem possui conhecimentos na
aacuterea da seguranccedila computacional
Apaixonado por tecnologia e fascinado pela
cultura hacker
Naacutegila Magalhatildees
Graduada em Tecnologia em Redes de
Computadores pela FCAT Apaixonada por
tecnologia e ciberespaccedilo com conhecimento
nas aacutereas de seguranccedila computacional e
computaccedilatildeo forense pelo qual tenho enorme
interesse e admiraccedilatildeo Atualmente atuando
como colaboradora das Revistas Seguranccedila
Digital e Espiacuterito Livre
Heacutelio Joseacute Santiago Ferreira
Engenheiro por formaccedilatildeo Atualmente
desenvolve atividades de consultoria em
Software Livre ministra cursos e palestras
Como designer colabora nas revistas Espiacuterito
Livre e Seguranccedila Digital Eacute membro da The
Document Foundation e atua como
coordenador da revista LibreOffice Magazine
Brasil
Thiago Fernandes G Caixeta
Graduado em Ciecircncia da
Computaccedilatildeo e MBA em
Gestatildeo da Seguranccedila da
Informaccedilatildeo pela Universidade
Fumec atua na aacuterea de TI
como Analista de Sistemas
desenvolvedor de softwares
Admirador da aacuterea de
seguranccedila da informaccedilatildeo e
entusiasta da forense
computacional
Liacutegia Barroso
Advogada atuante em Direito
Eletrocircnico e Propriedade
Intelectual Mestranda em Direito
da Propriedade Intelectual na
Universidade de Lisboa (FDUL)
Especialista em Direito Eletrocircnico
e Tecnologia da Informaccedilatildeo pelo
Centro Universitaacuterio da Grande
Dourados (UNIGRAN)
Julio Carvalho
Graduado em Redes de Computadores e Poacutes
Graduado em Auditoria e Seguranccedila de
Sistemas pela Universidade Estaacutecio de Saacute
Especialista em Coacutedigos Maliciosos e
Sistemas de Correio Eletrocircnico com mais de
10 anos de experiecircncia em Infraestrutura e
Seguranccedila de ambientes com certificaccedilotildees
em produtos da linha LotusIBM e Trend Micro
Gilberto Sudre
Professor Consultor e
Pesquisador da aacuterea de
Seguranccedila da Informaccedilatildeo
Comentarista de Tecnologia da
Raacutedio CBN TV Gazeta Jornal A
Gazeta Revista ES Brasil Revista
Espiacuterito Livre e Portal iMasters
Autor dos livros Antenado na
Tecnologia Redes de
Computadores e Internet O
encontro de 2 Mundos
04
Luiz Felipe Ferreira
No mercado da TI haacute 9 anos trabalhando com
Seguranccedila da Informaccedilatildeo desde 2006
Atualmente trabalha no setor de IT Security da TV
Globo Graduado em Processamento de Dados
pela UniverCidade e com MBA de Gestatildeo de
Projetos e Negoacutecios de TI pela UERJ Possui
certificaccedilotildees ITIL VCP LPI Level 1 e MCP
Janeiro 2012 bull segurancadigital info
Claacuteudio Dodt
Consultor Secircnior em Seguranccedila da
Informaccedilatildeo e gerente de projetos com foco
em TI atua na aacuterea de tecnologia haacute mais de
10 anos exercendo atividades como Teacutecnico
e Analista de Suporte Analista de Seguranccedila
Sr Security Officer e Supervisor de Infrashy
Estrutura e Seguranccedila
Bruno Cesar M de Souza
Soacutecio e Diretor Teacutecnico da Able
Security CISSP desde Jan2007
OSCP Bacharel em Sistemas de
Informaccedilatildeo pela PUCshyRio com
mais de 11 anos de experiecircncia
em seguranccedila da informaccedilatildeo
especialista em testes de intrusatildeo
Tem prestado consultoria para
organizaccedilotildees de diversos
segmentos no Brasil e no Reino
Unido
Janeiro 201205
06 GRAMPOS DIGITAIS VOZ SOBRE IP Eacute SEGURO
POR Gilberto Sudrema
08 FACEBOOK E SEUS MILHOtildeES DE USUAacuteRIOS E A
SEGURANCcedilA COMO FICA
POR Naacutegila Magalhatildees Cardoso
11 O BIG BROTHER CORPORATIVO
POR Liacutegia Barroso
13 TROCANDO UMA IDEIA
POR Faacutebio Jacircnio Lima Ferreira
15 SEGURANCcedilA DA INFORMACcedilAtildeO PREVISOtildeES PARA
2012
POR Luiz Felipe Ferreira
19 POR QUE FALHAM PLANOS DE RECUPERACcedilAtildeO
DE DESASTRES E CONTINUIDADE DE NEGOacuteCIOS
POR Claacuteudio Dodt
23 CONSCIENTIZACcedilAtildeO DOS RISCOS DA INTERNET
POR Julio Carvalho
26 ENTENDENDO A SEGURANCcedilA NAS REDES SEM
FIO
POR Thiago Fernandes Gaspar Caixeta
33 QUESTOtildeES DE CISSP
POR Claacuteudio Dodt
36 TESTES DE INTRUSAtildeO shy QUE BENEFIacuteCIOS PODEM
TRAZER PARA SUA ORGANIZACcedilAtildeO
POR Bruno Cesar M de Souza
42LIVRO EM
DESTAQUEUma leitura obrigaacutetoria
Clicando com seguranccedila
COLUNA DO LEITOREmails sugestotildees e comentaacuteriosEnvie o seu e contribua para com onosso projeto
NOTIacuteCIASFique informado quanto ao queacontece no mundo virtual
44 43
APOIAMOS
45 SOPARevista Seguranccedila Digital adere ao SOPABlackoutBR
Janeiro 2012 bull segurancadigital info
PARCEIROS
47 KRYPTUSKryptus desenvolve primeiro CriptoshyProcessador Seguro
100 nacional
50 4LINUXCurso Investigaccedilatildeo Forense Digital
51 HOSTDIMEDesafios da gestatildeo de seguranccedila de servidores
compartilhados (Parte I)
ARTIGOS
APOIAMOS
18 AGENDA DE TI
ARTIGO Seguranccedila Digital06
Grampos Digitais
A tecnologia que permite o transporte da voz
uti l izando o protocolo IP conhecida como VoIP estaacute
no topo da lista de atenccedilatildeo dos usuaacuterios e gerentes
de TI da maioria das empresas Isto natildeo eacute nenhuma
surpresa levandoshyse em consideraccedilatildeo a forte
reduccedilatildeo de custo e o aumento da flexibi l idade no
uso das redes proporcionada por ela
Esta situaccedilatildeo aparentemente campeatilde estaacute longe
de ser perfeita e vaacuterias dificuldades devem ser
observadas para sua adoccedilatildeo A primeira delas estaacute
no aumento da complexidade no projeto das redes
pois estas agora seratildeo responsaacuteveis por transportar
um tipo de informaccedilatildeo que estabelece limites de
tempo e atraso de transmissatildeo Outro iacutetem de
preocupaccedilatildeo eacute com a seguranccedila dos dados (no caso
a voz) trafegados Isto mesmo Imagine que aleacutem
da possibi l idade de saber por onde vocecirc navega os
ldquocuriososrdquo podem ouvir o que vocecirc fala Certamente
uma situaccedilatildeo nada agradaacutevel
Eacute bom lembrar que a infra estrutura da rede
telefocircnica convencional estaacute sob o controle de uma
ou poucas empresas Muito diferente do VoIP onde
todos os protocolos satildeo de conhecimento puacuteblico e
a proacutepria rede uti l izada na maioria das vezes eacute a
Internet (que natildeo eacute nenhum exemplo de
privacidade) Considerando que a voz seraacute
transportada como dados quais as ameaccedilas no uso
desta nova tecnologia
O ataque que provavelmente mais preocupa os
Janeiro 2012 bull segurancadigital info
POR Gilberto Sudre
Eshymail gi lbertosudrecombr
Blog http gi lbertosudrecombr
Twitter gilbertosudre
Facebook http wwwfacebookcomgilbertosudre
VOZ SOBRE IPEacute SEGURO
usuaacuterios eacute o monitoramento de suas conversas
Como a voz eacute transmitida pela rede no formato de
dados digitais torna este tipo de ataque muito
simples de ser executado A proteccedilatildeo para esta
invasatildeo de privacidade eacute a uti l izaccedilatildeo de algoritmos
para criptografar as informaccedilotildees enviadas Isto pode
ser implementado atraveacutes das VPNs (Virtual Private
Networks)
A disponibi l idade do serviccedilo de VoIP pode ser
bastante prejudicada com os ataques de DoS
(Denial of Service) Nesta situaccedilatildeo o hacker
consegue gerar uma grande quantidade de traacutefego
inuacuteti l com o objetivo de sobrecarregar os links de
comunicaccedilatildeo e impedir que o traacutefego uacuteti l possa
chegar ao destino O combate a este tipo de ataque
natildeo depende dos usuaacuterios Somente a accedilatildeo
integrada de provedores pode impedir que este
traacutefego indesejado invada os links Internet
Outro tipo de ataque ao VoIP ainda raro nos dias de
hoje mas infel izmente muito conhecido em outros
meios eacute o SPIT (Spam over Internet Telephony) ou
SPAM sobre a telefonia IP Isto mesmo Se vocecirc
fica irritado com as dezenas (ou centenas) de
mensagens indesejadas que chegam a sua caixa
postal imagine agora sua caixa de correio de voz
repleta de mensagens de venda de produtos muitas
vezes impublicaacuteveis
Este satildeo soacute alguns dos muitos tipos de ataques que
vamos enfrentar em breve Apesar de natildeo existir
publicamente ainda nenhum relato de ataques a
uma rede ou traacutefego VoIP isto natildeo significa a
ausecircncia de vulnerabil idades O mais provaacutevel
talvez seja a falta de interesse (ateacute quando) ou
oportunidade Assim eacute bom ficar de olho pois natildeo
vai demorar para comeccedilarmos a ver casos de
ldquogrampos digitaisrdquo acontecendo por aiacute
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital07
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
EDITORIAL
ldquoNenhum plano de batalha sobrevive ao contato com o inimigordquo Esta maacutexima
atribuiacuteda ao estrategista alematildeo herr Helmuth pode ser muito facilmente aplicashy
da as mais diversas aacutereas Mesmos os melhores planos sejam eles passar
com seu Transatlacircntico recheado de turistas mais perto de uma ilha fazer uma
reforma no seu escritoacuterio ou manter uma publicaccedilatildeo bimestral sobre seguranccedila
da informaccedilatildeo iratildeo encontrar contratempos
A realidade eacute que dificuldades sempre existiratildeo e todos os nossos planos deshy
vem levar em consideraccedilatildeo esse fator muitas vezes imprevisiacutevel e optar entre
ter uma boa capacidade de adaptaccedilatildeo ou falhar miseravelmente
Jaacute nos acostumamos com a ideia de viver em um mundo de constante mudanshy
ccedila fato este refletido na nossa mateacuteria de capa que fala das previsotildees para esshy
te ano que promete trazer cada vez mais a tecnologia para dentro do nosso dia
a dia juntamente com suas oacutebvias vantagens e riscos criando cada vez mais
paradoxos que por vezes caem no colo da equipe de seguranccedila da informashy
ccedilatildeo afinal como dizia o poeta romano Juvenal ldquoQuis custodiet ipsos custoshy
desrdquo Quem vai cuidar do crescente nuacutemero de hacktivistas anocircnimos muitos
dos quais possuidores de uma ideologia inocente que pode lhes deixar cegos
perante os longos cordotildees que os prendem feito marionetes
Como se reflete em nosso comportamento um mundo onde cada passo que
damos eacute acompanhado seja no mundo corporativo onde o monitoramento muishy
tas vezes natildeo eacute uma opccedilatildeo quando fazemos uma ligaccedilatildeo ou mandamos um eshy
mail ou mesmo em redes sociais onde escolhemos expor nosso cotidiano penshy
samentos e problemas A membrana invisiacutevel que separa real e virtual estaacute
cada vez mais fina Entender este e outros aspectos da tecnologia passou a
ser o papel natildeo apenas do batalhatildeo de Sheldon Coopers e sim de gestores jushy
ristas psicoacutelogos e socioacutelogos
Quando seguranccedila demais passa a ser pouca seguranccedila Quantos testes de
invasatildeo mostraram que herr Helmuth estava certo e levaram por aacutegua abaixo
as melhores arquiteturas de seguranccedila que ficaram obsoletas antes mesmo da
tinta virtual secar
Neste contexto trazemos mais uma vez a revista Seguranccedila Digital com o objeshy
tivo de fomentar esse duelo de opiniotildees divergentes e a ousadia de levar a voshy
cecirc ndash nosso cariacutessimo leitor ndash nossos questionamentos experiecircncias erros e
acertos
Sejam todos bem vindos
Klaatu barada nikto
Por Claudio Dodt
Janeiro 2012 bull segurancadigital info
DIRETORshyGERALFaacutebio Jacircnio Lima Ferreirafabiojaniosegurancadigital info
EDITORshyCHEFEClaudio Dodtccdodtgmailcom
Johnantan Pereirajohnantanpereiragmailcom
Luiz Felipe Ferreiralfferreiragmailcom
EDITOR DE ARTEHeacutelio Joseacute Santiago Ferreiraheliojsfgmailcom
COLUNISTASBruno Cesar M de Souzabrunosouzaablesecuritycombr
Gilberto Sudregilbertosudrecombr
Julio Carvalhojul ioinfogmailcom
Liacutegia Barrosoligiabarrosohotmail com
Naacutegila Magalhatildeesnagilamagalhaesgmailcom
Thiago Fernandes G Caixetathiagocaixetagmailcom
REVISAtildeOAndre Luizaluiz204gmailcom
Mauro Juacuteniormaurompjuniorgmailcom
Raiana Pereiraraianagomesyahoocombr
Na Internet
http twittercom_SegDigital
wwwfacebookcomsegurancadigital
wwwyoutubecomsegurancadigital
wwwsegurancadigital info
Johnantan Pereira
Analista de Seguranccedila Graduado em Redes de
Computadores pela Faculdade Estaacutecio do Cearaacute
com Extensatildeo em Periacutecia Forense
Computacional Apaixonado por Tecnologia
Admirador e Pesquisador da Cultura Hacker
Usuaacuterio e Ativista Linux
Faacutebio Jacircnio Lima Ferreira
Analista de suporte teacutecnico e administrador
de redes tambeacutem possui conhecimentos na
aacuterea da seguranccedila computacional
Apaixonado por tecnologia e fascinado pela
cultura hacker
Naacutegila Magalhatildees
Graduada em Tecnologia em Redes de
Computadores pela FCAT Apaixonada por
tecnologia e ciberespaccedilo com conhecimento
nas aacutereas de seguranccedila computacional e
computaccedilatildeo forense pelo qual tenho enorme
interesse e admiraccedilatildeo Atualmente atuando
como colaboradora das Revistas Seguranccedila
Digital e Espiacuterito Livre
Heacutelio Joseacute Santiago Ferreira
Engenheiro por formaccedilatildeo Atualmente
desenvolve atividades de consultoria em
Software Livre ministra cursos e palestras
Como designer colabora nas revistas Espiacuterito
Livre e Seguranccedila Digital Eacute membro da The
Document Foundation e atua como
coordenador da revista LibreOffice Magazine
Brasil
Thiago Fernandes G Caixeta
Graduado em Ciecircncia da
Computaccedilatildeo e MBA em
Gestatildeo da Seguranccedila da
Informaccedilatildeo pela Universidade
Fumec atua na aacuterea de TI
como Analista de Sistemas
desenvolvedor de softwares
Admirador da aacuterea de
seguranccedila da informaccedilatildeo e
entusiasta da forense
computacional
Liacutegia Barroso
Advogada atuante em Direito
Eletrocircnico e Propriedade
Intelectual Mestranda em Direito
da Propriedade Intelectual na
Universidade de Lisboa (FDUL)
Especialista em Direito Eletrocircnico
e Tecnologia da Informaccedilatildeo pelo
Centro Universitaacuterio da Grande
Dourados (UNIGRAN)
Julio Carvalho
Graduado em Redes de Computadores e Poacutes
Graduado em Auditoria e Seguranccedila de
Sistemas pela Universidade Estaacutecio de Saacute
Especialista em Coacutedigos Maliciosos e
Sistemas de Correio Eletrocircnico com mais de
10 anos de experiecircncia em Infraestrutura e
Seguranccedila de ambientes com certificaccedilotildees
em produtos da linha LotusIBM e Trend Micro
Gilberto Sudre
Professor Consultor e
Pesquisador da aacuterea de
Seguranccedila da Informaccedilatildeo
Comentarista de Tecnologia da
Raacutedio CBN TV Gazeta Jornal A
Gazeta Revista ES Brasil Revista
Espiacuterito Livre e Portal iMasters
Autor dos livros Antenado na
Tecnologia Redes de
Computadores e Internet O
encontro de 2 Mundos
04
Luiz Felipe Ferreira
No mercado da TI haacute 9 anos trabalhando com
Seguranccedila da Informaccedilatildeo desde 2006
Atualmente trabalha no setor de IT Security da TV
Globo Graduado em Processamento de Dados
pela UniverCidade e com MBA de Gestatildeo de
Projetos e Negoacutecios de TI pela UERJ Possui
certificaccedilotildees ITIL VCP LPI Level 1 e MCP
Janeiro 2012 bull segurancadigital info
Claacuteudio Dodt
Consultor Secircnior em Seguranccedila da
Informaccedilatildeo e gerente de projetos com foco
em TI atua na aacuterea de tecnologia haacute mais de
10 anos exercendo atividades como Teacutecnico
e Analista de Suporte Analista de Seguranccedila
Sr Security Officer e Supervisor de Infrashy
Estrutura e Seguranccedila
Bruno Cesar M de Souza
Soacutecio e Diretor Teacutecnico da Able
Security CISSP desde Jan2007
OSCP Bacharel em Sistemas de
Informaccedilatildeo pela PUCshyRio com
mais de 11 anos de experiecircncia
em seguranccedila da informaccedilatildeo
especialista em testes de intrusatildeo
Tem prestado consultoria para
organizaccedilotildees de diversos
segmentos no Brasil e no Reino
Unido
Janeiro 201205
06 GRAMPOS DIGITAIS VOZ SOBRE IP Eacute SEGURO
POR Gilberto Sudrema
08 FACEBOOK E SEUS MILHOtildeES DE USUAacuteRIOS E A
SEGURANCcedilA COMO FICA
POR Naacutegila Magalhatildees Cardoso
11 O BIG BROTHER CORPORATIVO
POR Liacutegia Barroso
13 TROCANDO UMA IDEIA
POR Faacutebio Jacircnio Lima Ferreira
15 SEGURANCcedilA DA INFORMACcedilAtildeO PREVISOtildeES PARA
2012
POR Luiz Felipe Ferreira
19 POR QUE FALHAM PLANOS DE RECUPERACcedilAtildeO
DE DESASTRES E CONTINUIDADE DE NEGOacuteCIOS
POR Claacuteudio Dodt
23 CONSCIENTIZACcedilAtildeO DOS RISCOS DA INTERNET
POR Julio Carvalho
26 ENTENDENDO A SEGURANCcedilA NAS REDES SEM
FIO
POR Thiago Fernandes Gaspar Caixeta
33 QUESTOtildeES DE CISSP
POR Claacuteudio Dodt
36 TESTES DE INTRUSAtildeO shy QUE BENEFIacuteCIOS PODEM
TRAZER PARA SUA ORGANIZACcedilAtildeO
POR Bruno Cesar M de Souza
42LIVRO EM
DESTAQUEUma leitura obrigaacutetoria
Clicando com seguranccedila
COLUNA DO LEITOREmails sugestotildees e comentaacuteriosEnvie o seu e contribua para com onosso projeto
NOTIacuteCIASFique informado quanto ao queacontece no mundo virtual
44 43
APOIAMOS
45 SOPARevista Seguranccedila Digital adere ao SOPABlackoutBR
Janeiro 2012 bull segurancadigital info
PARCEIROS
47 KRYPTUSKryptus desenvolve primeiro CriptoshyProcessador Seguro
100 nacional
50 4LINUXCurso Investigaccedilatildeo Forense Digital
51 HOSTDIMEDesafios da gestatildeo de seguranccedila de servidores
compartilhados (Parte I)
ARTIGOS
APOIAMOS
18 AGENDA DE TI
ARTIGO Seguranccedila Digital06
Grampos Digitais
A tecnologia que permite o transporte da voz
uti l izando o protocolo IP conhecida como VoIP estaacute
no topo da lista de atenccedilatildeo dos usuaacuterios e gerentes
de TI da maioria das empresas Isto natildeo eacute nenhuma
surpresa levandoshyse em consideraccedilatildeo a forte
reduccedilatildeo de custo e o aumento da flexibi l idade no
uso das redes proporcionada por ela
Esta situaccedilatildeo aparentemente campeatilde estaacute longe
de ser perfeita e vaacuterias dificuldades devem ser
observadas para sua adoccedilatildeo A primeira delas estaacute
no aumento da complexidade no projeto das redes
pois estas agora seratildeo responsaacuteveis por transportar
um tipo de informaccedilatildeo que estabelece limites de
tempo e atraso de transmissatildeo Outro iacutetem de
preocupaccedilatildeo eacute com a seguranccedila dos dados (no caso
a voz) trafegados Isto mesmo Imagine que aleacutem
da possibi l idade de saber por onde vocecirc navega os
ldquocuriososrdquo podem ouvir o que vocecirc fala Certamente
uma situaccedilatildeo nada agradaacutevel
Eacute bom lembrar que a infra estrutura da rede
telefocircnica convencional estaacute sob o controle de uma
ou poucas empresas Muito diferente do VoIP onde
todos os protocolos satildeo de conhecimento puacuteblico e
a proacutepria rede uti l izada na maioria das vezes eacute a
Internet (que natildeo eacute nenhum exemplo de
privacidade) Considerando que a voz seraacute
transportada como dados quais as ameaccedilas no uso
desta nova tecnologia
O ataque que provavelmente mais preocupa os
Janeiro 2012 bull segurancadigital info
POR Gilberto Sudre
Eshymail gi lbertosudrecombr
Blog http gi lbertosudrecombr
Twitter gilbertosudre
Facebook http wwwfacebookcomgilbertosudre
VOZ SOBRE IPEacute SEGURO
usuaacuterios eacute o monitoramento de suas conversas
Como a voz eacute transmitida pela rede no formato de
dados digitais torna este tipo de ataque muito
simples de ser executado A proteccedilatildeo para esta
invasatildeo de privacidade eacute a uti l izaccedilatildeo de algoritmos
para criptografar as informaccedilotildees enviadas Isto pode
ser implementado atraveacutes das VPNs (Virtual Private
Networks)
A disponibi l idade do serviccedilo de VoIP pode ser
bastante prejudicada com os ataques de DoS
(Denial of Service) Nesta situaccedilatildeo o hacker
consegue gerar uma grande quantidade de traacutefego
inuacuteti l com o objetivo de sobrecarregar os links de
comunicaccedilatildeo e impedir que o traacutefego uacuteti l possa
chegar ao destino O combate a este tipo de ataque
natildeo depende dos usuaacuterios Somente a accedilatildeo
integrada de provedores pode impedir que este
traacutefego indesejado invada os links Internet
Outro tipo de ataque ao VoIP ainda raro nos dias de
hoje mas infel izmente muito conhecido em outros
meios eacute o SPIT (Spam over Internet Telephony) ou
SPAM sobre a telefonia IP Isto mesmo Se vocecirc
fica irritado com as dezenas (ou centenas) de
mensagens indesejadas que chegam a sua caixa
postal imagine agora sua caixa de correio de voz
repleta de mensagens de venda de produtos muitas
vezes impublicaacuteveis
Este satildeo soacute alguns dos muitos tipos de ataques que
vamos enfrentar em breve Apesar de natildeo existir
publicamente ainda nenhum relato de ataques a
uma rede ou traacutefego VoIP isto natildeo significa a
ausecircncia de vulnerabil idades O mais provaacutevel
talvez seja a falta de interesse (ateacute quando) ou
oportunidade Assim eacute bom ficar de olho pois natildeo
vai demorar para comeccedilarmos a ver casos de
ldquogrampos digitaisrdquo acontecendo por aiacute
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital07
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Johnantan Pereira
Analista de Seguranccedila Graduado em Redes de
Computadores pela Faculdade Estaacutecio do Cearaacute
com Extensatildeo em Periacutecia Forense
Computacional Apaixonado por Tecnologia
Admirador e Pesquisador da Cultura Hacker
Usuaacuterio e Ativista Linux
Faacutebio Jacircnio Lima Ferreira
Analista de suporte teacutecnico e administrador
de redes tambeacutem possui conhecimentos na
aacuterea da seguranccedila computacional
Apaixonado por tecnologia e fascinado pela
cultura hacker
Naacutegila Magalhatildees
Graduada em Tecnologia em Redes de
Computadores pela FCAT Apaixonada por
tecnologia e ciberespaccedilo com conhecimento
nas aacutereas de seguranccedila computacional e
computaccedilatildeo forense pelo qual tenho enorme
interesse e admiraccedilatildeo Atualmente atuando
como colaboradora das Revistas Seguranccedila
Digital e Espiacuterito Livre
Heacutelio Joseacute Santiago Ferreira
Engenheiro por formaccedilatildeo Atualmente
desenvolve atividades de consultoria em
Software Livre ministra cursos e palestras
Como designer colabora nas revistas Espiacuterito
Livre e Seguranccedila Digital Eacute membro da The
Document Foundation e atua como
coordenador da revista LibreOffice Magazine
Brasil
Thiago Fernandes G Caixeta
Graduado em Ciecircncia da
Computaccedilatildeo e MBA em
Gestatildeo da Seguranccedila da
Informaccedilatildeo pela Universidade
Fumec atua na aacuterea de TI
como Analista de Sistemas
desenvolvedor de softwares
Admirador da aacuterea de
seguranccedila da informaccedilatildeo e
entusiasta da forense
computacional
Liacutegia Barroso
Advogada atuante em Direito
Eletrocircnico e Propriedade
Intelectual Mestranda em Direito
da Propriedade Intelectual na
Universidade de Lisboa (FDUL)
Especialista em Direito Eletrocircnico
e Tecnologia da Informaccedilatildeo pelo
Centro Universitaacuterio da Grande
Dourados (UNIGRAN)
Julio Carvalho
Graduado em Redes de Computadores e Poacutes
Graduado em Auditoria e Seguranccedila de
Sistemas pela Universidade Estaacutecio de Saacute
Especialista em Coacutedigos Maliciosos e
Sistemas de Correio Eletrocircnico com mais de
10 anos de experiecircncia em Infraestrutura e
Seguranccedila de ambientes com certificaccedilotildees
em produtos da linha LotusIBM e Trend Micro
Gilberto Sudre
Professor Consultor e
Pesquisador da aacuterea de
Seguranccedila da Informaccedilatildeo
Comentarista de Tecnologia da
Raacutedio CBN TV Gazeta Jornal A
Gazeta Revista ES Brasil Revista
Espiacuterito Livre e Portal iMasters
Autor dos livros Antenado na
Tecnologia Redes de
Computadores e Internet O
encontro de 2 Mundos
04
Luiz Felipe Ferreira
No mercado da TI haacute 9 anos trabalhando com
Seguranccedila da Informaccedilatildeo desde 2006
Atualmente trabalha no setor de IT Security da TV
Globo Graduado em Processamento de Dados
pela UniverCidade e com MBA de Gestatildeo de
Projetos e Negoacutecios de TI pela UERJ Possui
certificaccedilotildees ITIL VCP LPI Level 1 e MCP
Janeiro 2012 bull segurancadigital info
Claacuteudio Dodt
Consultor Secircnior em Seguranccedila da
Informaccedilatildeo e gerente de projetos com foco
em TI atua na aacuterea de tecnologia haacute mais de
10 anos exercendo atividades como Teacutecnico
e Analista de Suporte Analista de Seguranccedila
Sr Security Officer e Supervisor de Infrashy
Estrutura e Seguranccedila
Bruno Cesar M de Souza
Soacutecio e Diretor Teacutecnico da Able
Security CISSP desde Jan2007
OSCP Bacharel em Sistemas de
Informaccedilatildeo pela PUCshyRio com
mais de 11 anos de experiecircncia
em seguranccedila da informaccedilatildeo
especialista em testes de intrusatildeo
Tem prestado consultoria para
organizaccedilotildees de diversos
segmentos no Brasil e no Reino
Unido
Janeiro 201205
06 GRAMPOS DIGITAIS VOZ SOBRE IP Eacute SEGURO
POR Gilberto Sudrema
08 FACEBOOK E SEUS MILHOtildeES DE USUAacuteRIOS E A
SEGURANCcedilA COMO FICA
POR Naacutegila Magalhatildees Cardoso
11 O BIG BROTHER CORPORATIVO
POR Liacutegia Barroso
13 TROCANDO UMA IDEIA
POR Faacutebio Jacircnio Lima Ferreira
15 SEGURANCcedilA DA INFORMACcedilAtildeO PREVISOtildeES PARA
2012
POR Luiz Felipe Ferreira
19 POR QUE FALHAM PLANOS DE RECUPERACcedilAtildeO
DE DESASTRES E CONTINUIDADE DE NEGOacuteCIOS
POR Claacuteudio Dodt
23 CONSCIENTIZACcedilAtildeO DOS RISCOS DA INTERNET
POR Julio Carvalho
26 ENTENDENDO A SEGURANCcedilA NAS REDES SEM
FIO
POR Thiago Fernandes Gaspar Caixeta
33 QUESTOtildeES DE CISSP
POR Claacuteudio Dodt
36 TESTES DE INTRUSAtildeO shy QUE BENEFIacuteCIOS PODEM
TRAZER PARA SUA ORGANIZACcedilAtildeO
POR Bruno Cesar M de Souza
42LIVRO EM
DESTAQUEUma leitura obrigaacutetoria
Clicando com seguranccedila
COLUNA DO LEITOREmails sugestotildees e comentaacuteriosEnvie o seu e contribua para com onosso projeto
NOTIacuteCIASFique informado quanto ao queacontece no mundo virtual
44 43
APOIAMOS
45 SOPARevista Seguranccedila Digital adere ao SOPABlackoutBR
Janeiro 2012 bull segurancadigital info
PARCEIROS
47 KRYPTUSKryptus desenvolve primeiro CriptoshyProcessador Seguro
100 nacional
50 4LINUXCurso Investigaccedilatildeo Forense Digital
51 HOSTDIMEDesafios da gestatildeo de seguranccedila de servidores
compartilhados (Parte I)
ARTIGOS
APOIAMOS
18 AGENDA DE TI
ARTIGO Seguranccedila Digital06
Grampos Digitais
A tecnologia que permite o transporte da voz
uti l izando o protocolo IP conhecida como VoIP estaacute
no topo da lista de atenccedilatildeo dos usuaacuterios e gerentes
de TI da maioria das empresas Isto natildeo eacute nenhuma
surpresa levandoshyse em consideraccedilatildeo a forte
reduccedilatildeo de custo e o aumento da flexibi l idade no
uso das redes proporcionada por ela
Esta situaccedilatildeo aparentemente campeatilde estaacute longe
de ser perfeita e vaacuterias dificuldades devem ser
observadas para sua adoccedilatildeo A primeira delas estaacute
no aumento da complexidade no projeto das redes
pois estas agora seratildeo responsaacuteveis por transportar
um tipo de informaccedilatildeo que estabelece limites de
tempo e atraso de transmissatildeo Outro iacutetem de
preocupaccedilatildeo eacute com a seguranccedila dos dados (no caso
a voz) trafegados Isto mesmo Imagine que aleacutem
da possibi l idade de saber por onde vocecirc navega os
ldquocuriososrdquo podem ouvir o que vocecirc fala Certamente
uma situaccedilatildeo nada agradaacutevel
Eacute bom lembrar que a infra estrutura da rede
telefocircnica convencional estaacute sob o controle de uma
ou poucas empresas Muito diferente do VoIP onde
todos os protocolos satildeo de conhecimento puacuteblico e
a proacutepria rede uti l izada na maioria das vezes eacute a
Internet (que natildeo eacute nenhum exemplo de
privacidade) Considerando que a voz seraacute
transportada como dados quais as ameaccedilas no uso
desta nova tecnologia
O ataque que provavelmente mais preocupa os
Janeiro 2012 bull segurancadigital info
POR Gilberto Sudre
Eshymail gi lbertosudrecombr
Blog http gi lbertosudrecombr
Twitter gilbertosudre
Facebook http wwwfacebookcomgilbertosudre
VOZ SOBRE IPEacute SEGURO
usuaacuterios eacute o monitoramento de suas conversas
Como a voz eacute transmitida pela rede no formato de
dados digitais torna este tipo de ataque muito
simples de ser executado A proteccedilatildeo para esta
invasatildeo de privacidade eacute a uti l izaccedilatildeo de algoritmos
para criptografar as informaccedilotildees enviadas Isto pode
ser implementado atraveacutes das VPNs (Virtual Private
Networks)
A disponibi l idade do serviccedilo de VoIP pode ser
bastante prejudicada com os ataques de DoS
(Denial of Service) Nesta situaccedilatildeo o hacker
consegue gerar uma grande quantidade de traacutefego
inuacuteti l com o objetivo de sobrecarregar os links de
comunicaccedilatildeo e impedir que o traacutefego uacuteti l possa
chegar ao destino O combate a este tipo de ataque
natildeo depende dos usuaacuterios Somente a accedilatildeo
integrada de provedores pode impedir que este
traacutefego indesejado invada os links Internet
Outro tipo de ataque ao VoIP ainda raro nos dias de
hoje mas infel izmente muito conhecido em outros
meios eacute o SPIT (Spam over Internet Telephony) ou
SPAM sobre a telefonia IP Isto mesmo Se vocecirc
fica irritado com as dezenas (ou centenas) de
mensagens indesejadas que chegam a sua caixa
postal imagine agora sua caixa de correio de voz
repleta de mensagens de venda de produtos muitas
vezes impublicaacuteveis
Este satildeo soacute alguns dos muitos tipos de ataques que
vamos enfrentar em breve Apesar de natildeo existir
publicamente ainda nenhum relato de ataques a
uma rede ou traacutefego VoIP isto natildeo significa a
ausecircncia de vulnerabil idades O mais provaacutevel
talvez seja a falta de interesse (ateacute quando) ou
oportunidade Assim eacute bom ficar de olho pois natildeo
vai demorar para comeccedilarmos a ver casos de
ldquogrampos digitaisrdquo acontecendo por aiacute
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital07
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 201205
06 GRAMPOS DIGITAIS VOZ SOBRE IP Eacute SEGURO
POR Gilberto Sudrema
08 FACEBOOK E SEUS MILHOtildeES DE USUAacuteRIOS E A
SEGURANCcedilA COMO FICA
POR Naacutegila Magalhatildees Cardoso
11 O BIG BROTHER CORPORATIVO
POR Liacutegia Barroso
13 TROCANDO UMA IDEIA
POR Faacutebio Jacircnio Lima Ferreira
15 SEGURANCcedilA DA INFORMACcedilAtildeO PREVISOtildeES PARA
2012
POR Luiz Felipe Ferreira
19 POR QUE FALHAM PLANOS DE RECUPERACcedilAtildeO
DE DESASTRES E CONTINUIDADE DE NEGOacuteCIOS
POR Claacuteudio Dodt
23 CONSCIENTIZACcedilAtildeO DOS RISCOS DA INTERNET
POR Julio Carvalho
26 ENTENDENDO A SEGURANCcedilA NAS REDES SEM
FIO
POR Thiago Fernandes Gaspar Caixeta
33 QUESTOtildeES DE CISSP
POR Claacuteudio Dodt
36 TESTES DE INTRUSAtildeO shy QUE BENEFIacuteCIOS PODEM
TRAZER PARA SUA ORGANIZACcedilAtildeO
POR Bruno Cesar M de Souza
42LIVRO EM
DESTAQUEUma leitura obrigaacutetoria
Clicando com seguranccedila
COLUNA DO LEITOREmails sugestotildees e comentaacuteriosEnvie o seu e contribua para com onosso projeto
NOTIacuteCIASFique informado quanto ao queacontece no mundo virtual
44 43
APOIAMOS
45 SOPARevista Seguranccedila Digital adere ao SOPABlackoutBR
Janeiro 2012 bull segurancadigital info
PARCEIROS
47 KRYPTUSKryptus desenvolve primeiro CriptoshyProcessador Seguro
100 nacional
50 4LINUXCurso Investigaccedilatildeo Forense Digital
51 HOSTDIMEDesafios da gestatildeo de seguranccedila de servidores
compartilhados (Parte I)
ARTIGOS
APOIAMOS
18 AGENDA DE TI
ARTIGO Seguranccedila Digital06
Grampos Digitais
A tecnologia que permite o transporte da voz
uti l izando o protocolo IP conhecida como VoIP estaacute
no topo da lista de atenccedilatildeo dos usuaacuterios e gerentes
de TI da maioria das empresas Isto natildeo eacute nenhuma
surpresa levandoshyse em consideraccedilatildeo a forte
reduccedilatildeo de custo e o aumento da flexibi l idade no
uso das redes proporcionada por ela
Esta situaccedilatildeo aparentemente campeatilde estaacute longe
de ser perfeita e vaacuterias dificuldades devem ser
observadas para sua adoccedilatildeo A primeira delas estaacute
no aumento da complexidade no projeto das redes
pois estas agora seratildeo responsaacuteveis por transportar
um tipo de informaccedilatildeo que estabelece limites de
tempo e atraso de transmissatildeo Outro iacutetem de
preocupaccedilatildeo eacute com a seguranccedila dos dados (no caso
a voz) trafegados Isto mesmo Imagine que aleacutem
da possibi l idade de saber por onde vocecirc navega os
ldquocuriososrdquo podem ouvir o que vocecirc fala Certamente
uma situaccedilatildeo nada agradaacutevel
Eacute bom lembrar que a infra estrutura da rede
telefocircnica convencional estaacute sob o controle de uma
ou poucas empresas Muito diferente do VoIP onde
todos os protocolos satildeo de conhecimento puacuteblico e
a proacutepria rede uti l izada na maioria das vezes eacute a
Internet (que natildeo eacute nenhum exemplo de
privacidade) Considerando que a voz seraacute
transportada como dados quais as ameaccedilas no uso
desta nova tecnologia
O ataque que provavelmente mais preocupa os
Janeiro 2012 bull segurancadigital info
POR Gilberto Sudre
Eshymail gi lbertosudrecombr
Blog http gi lbertosudrecombr
Twitter gilbertosudre
Facebook http wwwfacebookcomgilbertosudre
VOZ SOBRE IPEacute SEGURO
usuaacuterios eacute o monitoramento de suas conversas
Como a voz eacute transmitida pela rede no formato de
dados digitais torna este tipo de ataque muito
simples de ser executado A proteccedilatildeo para esta
invasatildeo de privacidade eacute a uti l izaccedilatildeo de algoritmos
para criptografar as informaccedilotildees enviadas Isto pode
ser implementado atraveacutes das VPNs (Virtual Private
Networks)
A disponibi l idade do serviccedilo de VoIP pode ser
bastante prejudicada com os ataques de DoS
(Denial of Service) Nesta situaccedilatildeo o hacker
consegue gerar uma grande quantidade de traacutefego
inuacuteti l com o objetivo de sobrecarregar os links de
comunicaccedilatildeo e impedir que o traacutefego uacuteti l possa
chegar ao destino O combate a este tipo de ataque
natildeo depende dos usuaacuterios Somente a accedilatildeo
integrada de provedores pode impedir que este
traacutefego indesejado invada os links Internet
Outro tipo de ataque ao VoIP ainda raro nos dias de
hoje mas infel izmente muito conhecido em outros
meios eacute o SPIT (Spam over Internet Telephony) ou
SPAM sobre a telefonia IP Isto mesmo Se vocecirc
fica irritado com as dezenas (ou centenas) de
mensagens indesejadas que chegam a sua caixa
postal imagine agora sua caixa de correio de voz
repleta de mensagens de venda de produtos muitas
vezes impublicaacuteveis
Este satildeo soacute alguns dos muitos tipos de ataques que
vamos enfrentar em breve Apesar de natildeo existir
publicamente ainda nenhum relato de ataques a
uma rede ou traacutefego VoIP isto natildeo significa a
ausecircncia de vulnerabil idades O mais provaacutevel
talvez seja a falta de interesse (ateacute quando) ou
oportunidade Assim eacute bom ficar de olho pois natildeo
vai demorar para comeccedilarmos a ver casos de
ldquogrampos digitaisrdquo acontecendo por aiacute
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital07
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital06
Grampos Digitais
A tecnologia que permite o transporte da voz
uti l izando o protocolo IP conhecida como VoIP estaacute
no topo da lista de atenccedilatildeo dos usuaacuterios e gerentes
de TI da maioria das empresas Isto natildeo eacute nenhuma
surpresa levandoshyse em consideraccedilatildeo a forte
reduccedilatildeo de custo e o aumento da flexibi l idade no
uso das redes proporcionada por ela
Esta situaccedilatildeo aparentemente campeatilde estaacute longe
de ser perfeita e vaacuterias dificuldades devem ser
observadas para sua adoccedilatildeo A primeira delas estaacute
no aumento da complexidade no projeto das redes
pois estas agora seratildeo responsaacuteveis por transportar
um tipo de informaccedilatildeo que estabelece limites de
tempo e atraso de transmissatildeo Outro iacutetem de
preocupaccedilatildeo eacute com a seguranccedila dos dados (no caso
a voz) trafegados Isto mesmo Imagine que aleacutem
da possibi l idade de saber por onde vocecirc navega os
ldquocuriososrdquo podem ouvir o que vocecirc fala Certamente
uma situaccedilatildeo nada agradaacutevel
Eacute bom lembrar que a infra estrutura da rede
telefocircnica convencional estaacute sob o controle de uma
ou poucas empresas Muito diferente do VoIP onde
todos os protocolos satildeo de conhecimento puacuteblico e
a proacutepria rede uti l izada na maioria das vezes eacute a
Internet (que natildeo eacute nenhum exemplo de
privacidade) Considerando que a voz seraacute
transportada como dados quais as ameaccedilas no uso
desta nova tecnologia
O ataque que provavelmente mais preocupa os
Janeiro 2012 bull segurancadigital info
POR Gilberto Sudre
Eshymail gi lbertosudrecombr
Blog http gi lbertosudrecombr
Twitter gilbertosudre
Facebook http wwwfacebookcomgilbertosudre
VOZ SOBRE IPEacute SEGURO
usuaacuterios eacute o monitoramento de suas conversas
Como a voz eacute transmitida pela rede no formato de
dados digitais torna este tipo de ataque muito
simples de ser executado A proteccedilatildeo para esta
invasatildeo de privacidade eacute a uti l izaccedilatildeo de algoritmos
para criptografar as informaccedilotildees enviadas Isto pode
ser implementado atraveacutes das VPNs (Virtual Private
Networks)
A disponibi l idade do serviccedilo de VoIP pode ser
bastante prejudicada com os ataques de DoS
(Denial of Service) Nesta situaccedilatildeo o hacker
consegue gerar uma grande quantidade de traacutefego
inuacuteti l com o objetivo de sobrecarregar os links de
comunicaccedilatildeo e impedir que o traacutefego uacuteti l possa
chegar ao destino O combate a este tipo de ataque
natildeo depende dos usuaacuterios Somente a accedilatildeo
integrada de provedores pode impedir que este
traacutefego indesejado invada os links Internet
Outro tipo de ataque ao VoIP ainda raro nos dias de
hoje mas infel izmente muito conhecido em outros
meios eacute o SPIT (Spam over Internet Telephony) ou
SPAM sobre a telefonia IP Isto mesmo Se vocecirc
fica irritado com as dezenas (ou centenas) de
mensagens indesejadas que chegam a sua caixa
postal imagine agora sua caixa de correio de voz
repleta de mensagens de venda de produtos muitas
vezes impublicaacuteveis
Este satildeo soacute alguns dos muitos tipos de ataques que
vamos enfrentar em breve Apesar de natildeo existir
publicamente ainda nenhum relato de ataques a
uma rede ou traacutefego VoIP isto natildeo significa a
ausecircncia de vulnerabil idades O mais provaacutevel
talvez seja a falta de interesse (ateacute quando) ou
oportunidade Assim eacute bom ficar de olho pois natildeo
vai demorar para comeccedilarmos a ver casos de
ldquogrampos digitaisrdquo acontecendo por aiacute
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital07
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
usuaacuterios eacute o monitoramento de suas conversas
Como a voz eacute transmitida pela rede no formato de
dados digitais torna este tipo de ataque muito
simples de ser executado A proteccedilatildeo para esta
invasatildeo de privacidade eacute a uti l izaccedilatildeo de algoritmos
para criptografar as informaccedilotildees enviadas Isto pode
ser implementado atraveacutes das VPNs (Virtual Private
Networks)
A disponibi l idade do serviccedilo de VoIP pode ser
bastante prejudicada com os ataques de DoS
(Denial of Service) Nesta situaccedilatildeo o hacker
consegue gerar uma grande quantidade de traacutefego
inuacuteti l com o objetivo de sobrecarregar os links de
comunicaccedilatildeo e impedir que o traacutefego uacuteti l possa
chegar ao destino O combate a este tipo de ataque
natildeo depende dos usuaacuterios Somente a accedilatildeo
integrada de provedores pode impedir que este
traacutefego indesejado invada os links Internet
Outro tipo de ataque ao VoIP ainda raro nos dias de
hoje mas infel izmente muito conhecido em outros
meios eacute o SPIT (Spam over Internet Telephony) ou
SPAM sobre a telefonia IP Isto mesmo Se vocecirc
fica irritado com as dezenas (ou centenas) de
mensagens indesejadas que chegam a sua caixa
postal imagine agora sua caixa de correio de voz
repleta de mensagens de venda de produtos muitas
vezes impublicaacuteveis
Este satildeo soacute alguns dos muitos tipos de ataques que
vamos enfrentar em breve Apesar de natildeo existir
publicamente ainda nenhum relato de ataques a
uma rede ou traacutefego VoIP isto natildeo significa a
ausecircncia de vulnerabil idades O mais provaacutevel
talvez seja a falta de interesse (ateacute quando) ou
oportunidade Assim eacute bom ficar de olho pois natildeo
vai demorar para comeccedilarmos a ver casos de
ldquogrampos digitaisrdquo acontecendo por aiacute
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital07
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital08
Facebook e seus milhotildees deusuaacuterios e a seguranccedilacomo fica
Atualmente a rede social do jovem Mark Zuckerberg
atrai a cada segundo grande quantidade de pessoas
na rede entre crianccedilas adolescentes adultos e ateacute
alguns idosos pelo qual satildeo mais de um bilhatildeo de
conteuacutedos comparti lhados status comentados fotos
postadas aleacutem da famosa opccedilatildeo ldquocurtirrdquo que lidera
entre os cliques dos usuaacuterios O facebook como
podemos observar jaacute faz parte do cartatildeo de visitas
das grandes empresas instituiccedilotildees celebridades e
de qualquer outra pessoa eacute surpreendente como o
facebook conquistou o gosto dos usuaacuterios
Hoje atualizar o perfi l e ver as atualizaccedilotildees dos
amigos na rede jaacute eacute tarefa diaacuteria e normal como
qualquer outro tipo de coisa que estamos
acostumados a fazer durante o diashyashydia agraves vezes
como se fosse um imatilde somos atraiacutedos a visitar
nossa paacutegina vaacuterias vezes soacute para conferir as
novidades natildeo eacute mesmo
Eacute fato que as redes sociais como um todo divertem
beneficiam nossa vida seja para conversar com
amigos que estatildeo distantes amenizar um pouco o
estresse ter maior acesso a diversos tipos de
informaccedilotildees entre outros benefiacutecios que satildeo
inuacutemeros que estamos acostumados a presenciar
mas tambeacutem por outro lado vale lembrar que
existem alguns pontos negativos por traacutes disso
Devido a grande concentraccedilatildeo de pessoas e a
liberdade de expressatildeo comparti lhada com a
curiosidade de informaccedilotildees disponiacuteveis que elas
encontram o Facebook umas das redes sociais que
mais ganharam destaque ultimamente se tornou
alvo principal faacutecil e rentaacutevel pelos cibercriminosos
para disseminar facilmente seus ataques aos
usuaacuterios despreparados no que diz respeito a
seguranccedila
Eacute certo lembrar de que quem faz a rede social se
tornar boa parte mais insegura satildeo os proacuteprios
usuaacuterios e aquela famosa frase do hacker Kevin
Janeiro 2012 bull segurancadigital info
FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDOQUE VIROU MANIA SE TORNOU TAMBEacuteM O MEIO MAIS PROCURADO PORCIBERCRIMINOSOS PARA DISSEMINAR CONTEUacuteDOS MALICIOSOS
POR Naacutegila Magalhatildees Cardoso
Eshymail nagilamagalhaesgmailcom
Twitter netnagila
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Mitnick natildeo nos deixa enganar de que o ldquoser
humano eacute o elo mais fraco da seguranccedilardquo sabemos
que a seguranccedila nesse mundo eacute um assunto seacuterio
mas que a maioria das pessoas preferem deixar
para o segundo plano
Como exemplo grande parte dos usuaacuterios tem o
costume compulsivo de clicar em tudo que ver sem
antes fazer uma anaacutelise preacutevia do conteuacutedo Eacute
comum ver as pessoas comparti lhando conteuacutedos e
permitindo a entrada de aplicativos de outros sites
no seu perfi l do Facebook o que se torna um risco
natildeo soacute para o proacuteprio usuaacuterio que pode ter sua conta
infectada e dados roubados mas sim os amigos que
fazem parte da sua rede
Geralmente a primeira accedilatildeo dos criminosos virtuais
eacute roubar a senha dos usuaacuterios A partir daiacute eles
uti l izam o perfi l da viacutetima para espalhar sua accedilatildeo
Pois assim se torna mais faacutecil uma vez que os
amigos daquela pessoa tendem a confiar em uma
publicaccedilatildeo feita por ela
O fato eacute que ningueacutem estaacute cem por cento seguro
que ateacute entatildeo o proacuteprio criador do Facebook jaacute teve
seu perfi l invadido com publicaccedilotildees de mensagens e
fotos privadas expostas ao puacuteblico Mas e aiacute quem
poderaacute nos defender
A resposta parece ser difiacuteci l mas eacute simples quem
pode nos defender eacute claro que noacutes mesmos natildeo
custa nada seguir aquele velho ditado popular ldquoeacute
melhor prevenir que remediarrdquo A prevenccedilatildeo de
certos problemas eacute sempre bem aceita amamos
redes sociais e o Facebook eacute um exemplo disso
devemos aproveitar seus benefiacutecios sem esquecer
os riscos que este pode oferecer e que tal entatildeo
seguir algumas dicas para natildeo ter dor de cabeccedila
mais tarde
Algumas dicas de prevenccedilatildeo
ARTIGO Seguranccedila Digital09
bull Clique com responsabil idade antes de tudo
analise refl ita
bull Cuidado ao permitir aplicativos leia antes o que
o aplicativo estaacute pedindo de permissatildeo Na
maioria dos casos encontramos os seguintes
exemplos de permissatildeo ldquoPublicar ao Facebook
em meu nomerdquo rdquoAcessar minhas informaccedilotildees
baacutesicasrdquo entre outros
bull Deixe suas informaccedilotildees apenas disponiacuteveis
para amigos em muitos casos se encontram em
puacuteblico assim podendo qualquer pessoa ver
seus dados Para ver qual opccedilatildeo estaacute ativa vaacute
em configuraccedilotildees de privacidade na aba do lado
da paacutegina inicial do seu Facebook
bull Cuidados com certos aplicativos ou links que
prometem mostrar quem visitou seu perfi l Como
vocecirc jaacute deve saber o Facebook natildeo possui essa
opccedilatildeo Entatildeo ignore esse tipo promessa Pense
que se tivesse estaria disponiacutevel na sua proacutepria
paacutegina e natildeo pedindo para instalar
bull Sempre desconfie
bull Atenccedilatildeo a timeline do Facebook jaacute estaacute
disponiacutevel uma vez adicionada natildeo haacute como
removecircshyla Tem usuaacuterios insatisfeitos com o novo
recurso e por conta disso virou oportunidade para
cibercriminosos espalharem golpes com
promessas de remover a timeline
bull Adicione o suporte HTTPS presente em
configuraccedilatildeo da conta na opccedilatildeo seguranccedila
disponiacutevel na sua paacutegina do Facebook e com
isso seu perfi l estaraacute mais seguro contra a
ataques que visam roubar seus dados
bull Cuidado com que vocecirc comparti lha e fica
falando as suas informaccedilotildees que vocecirc deixa
visiacuteveis no seu perfi l podem parecer inofensivas
mas satildeo oacutetimas dicas e oportunidades para
crackers e demais pessoas fazerem o que natildeo
devem com ajuda dessas informaccedilotildees
bull Jaacute terminou o que tinha para fazer no
Facebook espere aiacute natildeo vai sair da paacutegina
fechando naquele ldquoxrdquo ou senatildeo a proacutexima pessoa
que entrar no Facebook vai aparecer sua paacutegina
Para sair completamente vaacute na opccedilatildeo sair que
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital10
estaacute naquela aba do lado da paacutegina inicial
bull Tome cuidado com novas amizades procurando referecircncias antes de consideraacuteshylas como conhecidas
Portanto aqui foram algumas dicas fundamentais para que vocecirc possa estaacute um pouco mais protegido de
inuacutemeras pessoas que fazem o maacuteximo para chamar sua atenccedilatildeo a toda hora de algo que parece ser
inofensivo mas que na verdade por traacutes a uma accedilatildeo indesejada cujo principal prejudicado nessa
histoacuteria eacute vocecirc usuaacuterio
Olhar Digital (2011) Nova onda de cyber ataques assusta usuaacuterios de redes sociais
http olhardigitaluolcombrprodutoscentral_de_videosnova_onda_de_cyber_ataques_assu
sta_usuarios_de_redes_sociais|0|0|2|99
Olhar Digital (2012) Cuidado para natildeo cair no golpe da Timeline do Facebook
http olhardigitaluolcombrprodutossegurancanoticiascuidadoshyparashynaoshycairshynoshygolpeshydashy
timelineshydoshyfacebook
Campi Mocircnica Falha no Facebook permitir ver fotos privada (2011)
http infoabri l combrnoticiassegurancafalhashynoshyfacebookshypermiteshyvershyfotosshyprivadasshy
06122011shy30shl
Referecircncias
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital11
O big brothercorporativo
Em tempos de Big Brother a realizaccedilatildeo de
monitoramento eletrocircnico das contas de eshymail
corporativo tornashyse alvo de muitas discussotildees
Diante deste cenaacuterio eacute importante apontar quais os
fundamentos juriacutedicos que permitem a realizaccedilatildeo do
monitoramento e ateacute que ponto ele eacute permitido
Ao proteger o direito agrave propriedade a Constituiccedilatildeo
Federal garante ao empregador proprietaacuterio da
estrutura tecnoloacutegica da empresa e portanto dono
dos computadores do acesso agrave internet e das
contas de eshymail corporativo proporcionadas aos
empregados para a execuccedilatildeo de suas atividades
profissionais o direito a fiscalizar a sua uti l izaccedilatildeo
Por sua vez a Consolidaccedilatildeo das Leis do Trabalho
(DecretoshyLei ndeg 545243) em seu art em seu art 2ordm
garante ao empregador o Poder Diretivo atraveacutes do
qual ldquoConsiderashyse empregador a empresa
individual ou coletiva que assumindo os riscos da
atividade econocircmica admite assalaria e dirige a
prestaccedilatildeo pessoal de serviccedilordquo
O poder de direccedilatildeo consiste na faculdade do
empregador de organizar a execuccedilatildeo da atividade
laboral dos empregados Eacute doutrinariamente dividido
em trecircs aspectos quais sejam o poder discipl inar o
poder regulamentar e o poder de fiscalizaccedilatildeo o qual
compreende o monitoramento de correio eletrocircnico
Ainda quanto aos outros fundamentos juriacutedicos que
possibi l itam a adoccedilatildeo da praacutetica do monitoramento
de correio eletrocircnico corporativo no ordenamento
juriacutedico temos o disposto no Coacutedigo Civi l Brasileiro
acerca da responsabil idade civi l em seus arts 186
187 927 e 932 I I I e que impotildeem responsabil idade
objetiva do empregados pelos atos de seus
empregados
Todos esses argumentos servem para consolidar a
SAIBA SOBRE O MONITORAMENTO DE CORREIO
ELETROcircNICO REALIZADO NO AMBIENTE
CORPORATIVO
Janeiro 2012 bull segurancadigital info
POR Liacutegia Barroso
Twitter ligiaabarroso
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
possibi l idade de os empregadores estabelecerem
praacuteticas de seguranccedila e controle quanto a seus
sistemas de informaccedilatildeo uti l izaccedilatildeo de internet e
correio eletrocircnico corporativo fornecidos a seus
empregados para realizaccedilatildeo de suas respectivas
tarefas profissionais
Em contrapartida em respeito ao direito agrave
privacidade e agrave intimidade do trabalhador o
empregador deveraacute abstershyse de monitorar o
conteuacutedo de mensagens enviadas ou recebidas
atraveacutes de contas de correio eletrocircnico particulares
pois estas sim estatildeo protegidas juridicamente contra
as invasotildees arbitraacuterias Para que sejam evitados
problemas no acircmbito corporativo em relaccedilatildeo a tais
contas de correio eletrocircnico particulares eacute
recomendaacutevel que o acesso a esse tipo de serviccedilo
seja bloqueado
No Brasil observashyse um posicionamento firmado
pela jurisprudecircncia trabalhista no sentido de proteger
a privacidade de mensagens e contas de correio
eletrocircnico particulares Podendo o empregador tatildeo
somente monitorar as contas de eshymail corporativo
por ter este recurso natureza de ferramenta de
trabalho como podemos observar na decisatildeo do
TST citada
Para que haja a possibi l idade de monitoramento de
correio eletrocircnico profissional o empregador ainda
deveraacute certificarshyse de que os empregados estatildeo
cientes da praacutetica Este requisito eacute essencial para
que o monitoramento seja considerado vaacutelido
Portanto as regras do jogo devem ser claras as
partes envolvidas devem estar cientes do
monitoramento e da possibi l idade de suas
comunicaccedilotildees eletrocircnicas estarem sendo
observadas Devem estar cientes do alcance das
suas permissotildees e tambeacutem dos limites impostos por
suas proibiccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital12
TRIBUNAL SUPERIOR DO TRABALHO
PROVA ILIacuteCITA ndash EshyMAIL CORPORATIVO ndash
JUSTA CAUSA ndash DIVULGACcedilAtildeO DE MATERIAL
PORNOGRAacuteFICO
1 Os sacrossantos direitos do cidadatildeo agrave
privacidade e ao sigi lo de correspondecircncia
constitucionalmente assegurados concernem agrave
comunicaccedilatildeo estritamente pessoal ainda que
virtual (eshymail particular) Assim apenas o eshy
mail pessoal ou particular do empregado
socorrendoshyse de provedor proacuteprio desfruta
da proteccedilatildeo constitucional e legal de
inviolabilidade 2 Soluccedilatildeo diversa impotildeeshyse
em se tratando do chamado eshymail
corporativo instrumento de comunicaccedilatildeo
virtual mediante o qual o empregado louvashyse
de terminal de computador e de provedor da
empresa bem assim do proacuteprio endereccedilo
eletrocircnico que lhe eacute disponibilizado
igualmente pela empresa (TST RR 613007 ndash
1ordf T ndash Rel Min Joatildeo Oreste Dalazen ndash DJU
10062005) (grifos nossos)
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital13
Trocando uma ideia
Toda seguranccedila natildeo eacute suficiente
Por mais completo e moderno que seja seu sistema
de seguranccedila sempre haveraacute um jeito de contornar
essa ldquomaravilha de uacuteltima geraccedilatildeordquo em termos de
seguranccedila entatildeo tente dificultar ao maacuteximo o
trabalho dos ldquomeliantesrdquo faccedilashyos desistir antes de
achar uma brecha na sua ldquomuralhardquo No mundo
virtual natildeo existe essa histoacuteria de perfeiccedilatildeo toda
seguranccedila possui uma falha esta soacute precisa ser
descoberta
Onde muitos erram
O grande pecado de muitos eacute pensar que apenas
uma camada de seguranccedila eacute o suficiente para deter
um ldquomelianterdquo Se o pote de mel eacute grande vai atrair
muitas abelhas entatildeo quanto mais mel vocecirc estiver
protegendo mais atenccedilatildeo vocecirc iraacute chamar em
consequecircncia teraacute que elaborar um sistema de
seguranccedila com diversos niacuteveis ou camadas de
proteccedilatildeo
Vamos usar como exemplo um sistema que eu
estou a desenvolver Este sistema possui uma
camada em Javascript camada essa que eacute
responsaacutevel por fazer a validaccedilatildeo dos dados mas aiacute
temos um problema pois o usuaacuterio poderia
manipular meu coacutedigo isso se torna possiacutevel pois o
Javascript eacute executado no cliente sendo assim
realmente temos um grande problema Como
solucionar isso
Inseri uma segunda camada de validaccedilatildeo desta vez
em PHP pois este eacute executado no servidor e natildeo no
cliente Agora possuo duas camadas o Javascript
faz a primeira validaccedilatildeo (isso evita o consumo
desnecessaacuterio de recursos no lado do servidor)
mas e se o usuaacuterio manipular o Javascript Natildeo tem
problema quando os valores forem enviados ao
servidor o PHP faraacute uma nova validaccedilatildeo e caso
algo esteja errado o sistema iraacute alertar o usuaacuterio e
tomar as providecircncias previamente estabelecidas
POR Faacutebio Jacircnio Lima Ferreira
Twitter _SDinfo
Blog wwwsegurancadigital info
Eshymail fabiojaniosegurancadigital info
Janeiro 2012 bull segurancadigital info
TODASEGURANCcedilAEacute POUCA
CONVERSANDO A GENTE SE ENTENDE ENTAtildeO VAMOSTROCAR UMA IDEIAAQUI NESTE ARTIGO
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigital info
ldquoAs quatro perguntas mais importantesrdquo
Existem quatro perguntas que devem ser
respondidas antes de iniciar o desenvolvimento de
qualquer mecanismo de seguranccedila satildeo elas
Essas quatro perguntas foram fortemente tratadas
no artigo ldquoSeguranccedila da informaccedilatildeordquo disponiacutevel na
3ordf ediccedilatildeo da nossa revista
Filtre tudo o perigo pode estar querendo entrar
Eacute extremamente importante fi ltrar tudo o que passa
por sua aplicaccedilatildeo imagine que vocecirc possui um
formulaacuterio com diversos campos os valores
digitados nestes campos satildeo armazenados no
banco de dados Eacute extremamente importante fi ltrar e
validar quaisquer informaccedilotildees digitadas nos campos
natildeo importando qual usuaacuterio passou essas
informaccedilotildees A falta de fi ltros e regras de validaccedilatildeo eacute
o que coloca a maioria das aplicaccedilotildees em risco a
falta desta camada de seguranccedila implica em
ataques como por exemplo SQL Injection
Um ponto a ser observado eacute que se vocecirc pretende
validar os dados uti l izando Javascript poderaacute estar
colocando a seguranccedila da sua aplicaccedilatildeo em risco
tendo em vista que ele pode ser manipulado pelo
cliente
ldquoFiltrar a saiacuteda tambeacutem eacute uma boa praacuteticardquo
Tatildeo importante quanto fi ltrar a ldquoentradardquo eacute fi ltrar a
ldquosaiacutedardquo Ataques do tipo XSS (Cross Site Scripting ndash
tratado na 1ordf ediccedilatildeo de nossa revista) podem ser
evitados se vocecirc evitar que uma entrada invaacutelida se
torne uma saiacuteda potencialmente perigosa
A entrada de alguns dados na aplicaccedilatildeo pode gerar
resultados imprevisiacuteveis e estes por sua vez podem
desencadear uma seacuterie de ldquoanomaliasrdquo na aplicaccedilatildeo
como por exemplo redirecionar o usuaacuterio para um
site malicioso
Desconfie do usuaacuterio
Natildeo confie demais no usuaacuterio Sabemos que
existem pessoas ldquoboasrdquo e ldquomaacutesrdquo pessoas que
querem ajudar a construir e outros que querem
destruir entatildeo a pergunta eacute ldquoComo saber em quem
confiarrdquo
Infel izmente ningueacutem achou a resposta para essa
pergunta entatildeo a dica de ldquonerdrdquo eacute desconfie de
todo mundo natildeo confie em ningueacutem Proteja ao
maacuteximo sua aplicaccedilatildeo
ARTIGO Seguranccedila Digital14
Proteger O QUEcirc
Proteger DE QUEM
Proteger A QUAIS CUSTOS
Proteger COM QUAIS RISCOS
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Embora natildeo seja vidente futuroacutelogo ou algo do
gecircnero gosto de pensar no que pode acontecer na
aacuterea da Seguranccedila da Informaccedilatildeo O ano anterior foi
muito movimentado em termos de ataques (Sony
que o diga) e fez com que muitas empresas que
antes natildeo se preocupavam com a seguranccedila de
seus sites e redes comeccedilassem a mudar seus
conceitos Mas o que aconteceu em 2011 se
repetiraacute neste ano Seraacute que atingimos um niacutevel de
maturidade que faraacute com que os ataques natildeo sejam
bem sucedidos
Natildeo haacute duacutevida que o assunto seguranccedila estaacute na
moda portanto eacute importante procurar se antecipar e
proteger os ativos da sua organizaccedilatildeo O mercado
indica que teremos um contiacutenuo crescimento de
usuaacuterios nas redes sociais na adoccedilatildeo das soluccedilotildees
de cloud computing pelas empresas e nas vendas
de smartphones e tablets Essas 3 tendecircncias satildeo
de suma importacircncia para a Seguranccedila da
Informaccedilatildeo em 2012
VOCEcirc SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR SERAacute QUE TEM ALGUEacuteM
MONITORANDO SUA NAVEGACcedilAtildeO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU
MICRO
Janeiro 2012 bull segurancadigital info
Seguranccedila daInformaccedilatildeoPrevisotildees para 2012
ARTIGO Seguranccedila Digital15
No passado sabiashyse que a atenccedilatildeo dos criminosos
virtuais era o Windows ainda hoje o sistema
operacional mais uti l izado no mundo Poreacutem com a
adoccedilatildeo vertiginosa dos smartphones e tablets em
POR Luiz Felipe Ferreira
Twitter lfferreiras
Eshymail lfferreiragmailcom
Site br l inkedincominluizfel ipeferreira
1 Mobilidade shy A invasatildeo do BYOD
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital16
especial aqueles com o Android instalado o foco
mudou Vocecirc sabe o que interessa eacute o dinheiro O
nuacutemero de pragas criadas para o sistema do Google
aumentou mais de 400 nos uacuteltimos anos sendo
encontradas inclusive nos (agora nem tatildeo) confiaacutevel
Android Market e no AppStore
Com a chegada do Windows Phone natildeo seraacute
surpresa encontrarmos malwares para esta
plataforma jaacute no comeccedilo do ano Com a nova
interface ldquoMetrordquo a Microsoft pretende iniciar uma
convergecircncia em todas as suas plataformas
(Windows 8 Xbox Windows Phone) Natildeo seria
interessante uma praga que pudesse atingir todas
elas Eacute esperar para ver
Outro fator decisivo para esta previsatildeo eacute a sigla
BYOD (Bring Your Own Device) que seraacute muito
comentada em 2012 Tratashyse do uso de dispositivos
moacuteveis pessoais adquiridos por funcionaacuterios no
mundo corporativo Muitos deles o fazem para
acessar as informaccedilotildees da empresa sem as
restriccedilotildees de seguranccedila Por terem o controle total
dos aparelhos e por normalmente ignoraram normas
de seguranccedila esses usuaacuterios satildeo potenciais alvos
para os criminosos que atraveacutes de aplicativos
maliciosos mas que se passam por legitiacutemos aleacutem
de outras teacutecnicas jaacute conhecidas como o phishing e
o spam
Esta ameaccedila natildeo pode ser ignorada e accedilotildees
urgentes satildeo necessaacuterias Vaacuterias dicas podem ser
encontradas na mateacuteria ldquoMobil idade shy O Proacuteximo
Desafio da Seguranccedila da Informaccedilatildeo shy Vocecirc Estaacute
Preparadordquo inclusa na 3ordf ediccedilatildeo da revista
Seguranccedila Digital lanccedilada em novembro de 2011
2 Pragas sociais
Natildeo eacute novidade que as redes sociais movimentam a
internet e o crescimento delas eacute espantoso e
contiacutenuo O Facebook por exemplo deve chegar a
1 bilhatildeo de usuaacuterios em 2012 O Brasil eacute um dos
paiacuteses onde a adesatildeo as redes eacute intensa pois haacute
um estiacutemulo a inclusatildeo digital Poreacutem natildeo haacute
educaccedilatildeo baacutesica sobre Seguranccedila da Informaccedilatildeo
para os novos internautas Aleacutem disso a ldquonova
geraccedilatildeordquo de internautas parece ter cada vez menos
preocupaccedilatildeo com a privacidade O resultado eacute
entrada de potenciais ldquoviacutetimasrdquo de criminosos que
tem nesse puacuteblico um alvo muito atraente
Eacute notaacutevel o crescimento de links maliciosos
escondidos pelos encurtadores de links (como o
bit ly por exemplo) usados principalmente no Twitter
aleacutem dos jaacute famosos phishings normalmente
vinculados a acontecimentos cotidianos (BBB por
exemplo) que satildeo muito eficazes e as teacutecnicas de
engenharia social
Informe seus usuaacuterios (e tambeacutem a sua famiacutelia) dos
perigos das redes sociais A educaccedilatildeo eacute vital para
evitar o sucesso desses ataques
3 Nas nuvens
Mais uma tendecircncia em crescimento explosivo a
adoccedilatildeo do cloud computing pelas empresas seraacute
cada vez mais frequente Os benefiacutecios satildeo muitos
como a provisatildeo raacutepida de novos servidores a
disponibi l idade constante entre outros motivos O
importante agora natildeo eacute se a empresa usaraacute a cloud
mas quando Mas como estaacute sendo tratada a
seguranccedila Seraacute que todos aqueles que oferecem
esse serviccedilo tem uma poliacutetica adequada para
proteger as informaccedilotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital17
Algumas questotildees devem ser pensadas antes de se
contratar esse serviccedilo Seraacute que tudo deve ir para a
nuvem E a privacidade dos dados Em caso de
fraude ou roubo dos dados qual a responsabil idade
do provedor da nuvem
Os riscos satildeo vaacuterios comeccedilando pela localizaccedilatildeo
fiacutesica dos dados que podem estar em qualquer
paiacutes o que pode ser um problema por questotildees de
privacidade dependendo do paiacutes Outro problema eacute
o acesso privi legiados de usuaacuterios certamente
diferente daquele praticado pela sua proacutepria aacuterea de
TI Como dica sugiro que vocecirc consiga o maacuteximo
de informaccedilatildeo sobre quem vai gerenciar seus
dados
Creio que em poucos anos as empresas exigiratildeo
(como condiccedilatildeo de uso) que a seguranccedila dos
provedores de cloud seja atestada por entidades
independentes
4 A volta dos que natildeo foram
No meio do ano passado vimos um nuacutemero
expressivo de ataques provenientes de grupos
hackers que por motivaccedilotildees poliacuteticas ou somente
por diversatildeo viraram o centro das atenccedilotildees sendo
noticiados inclusive em horaacuterio nobre fazendo com
que os gestores de TI se movimentassem visando
proteger os seus ambientes Esse movimento eacute
conhecido por ldquohacktivismordquo
Pouco tempo depois misteriosamente o Lulzsec
informou que estava ldquoencerrando suas atividadesrdquo
Mas seraacute que esse grupo estaacute realmente inativo Jaacute
o Anonymous ateacute os dias atuais permanece ativo
com as suas ldquooperaccedilotildeesrdquo cujos alvos mais recentes
foram sites de pedofi l ia grupos neonazistas e o
SOPA polecircmico projeto de lei que procura evitar a
pirataria na internet
Eacute muito provaacutevel que em 2012 vejamos ataques
mais sofisticados direcionados a alvos especiacuteficos
tais como governos empresas organizaccedilotildees de
interesses contraacuterios a esses grupos ou ateacute mesmo
figuras puacuteblicas
Poreacutem jaacute vimos que apoacutes o FBI ter ldquofechadordquo o
famoso site de comparti lhamento de arquivos
Megaupload o Anonymous revidou uti l izando a jaacute
manjada teacutecnica de DDoS para tirar do ar vaacuterios
sites como o Departamento de Justiccedila dos Estados
o da Warner Music Group entre outros Sobrou ateacute
para o site da Paula Fernandes
Cabe agora a pergunta final Vocecirc e a sua empresa
estatildeo preparados para os perigos de 2012
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigital info
Links
http wwwagendaticombr
http twittercomagendati
http wwwfacebookcomagendati
agendatifedorowiczcombr
Perfil Responsaacutevel
Eduardo Fedorowicz
http twittercomfedorowicz
18
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital19
Por que falham planos derecuperaccedilatildeo de desastres econtinuidade de negoacutecios
Planos de recuperaccedilatildeo de desastres (PRD) e
continuidade de negoacutecios (PCN) nos preparam para
lidar com crises e podem ser resumidos como
diversas accedilotildees preventivas ou corretivas satildeo
sistematicamente estabelecidas e condensadas em
um plano que quando ativado deve reger accedilotildees de
pessoas chave da organizaccedilatildeo e seus resultados
podem simplesmente ser a diferenccedila se a
organizaccedilatildeo ldquovai estar laacute amanhatilderdquo
Entretanto como jaacute dizia herr Helmuth ldquoNenhum
plano de batalha sobrevive ao contato com o
inimigordquo Esta maacutexima do estrategista pode ser
perfeitamente aplicada a qualquer cenaacuterio de crise
onde sempre vai existir um certo niacutevel de incerteza
Voltando ao toacutepico deste artigo existem diversos
motivos pelos quais mesmo o melhor dos planos
pode falhar
Muitos planos falham desde o seu iniacutecio tendo uma
anaacutelise de riscos ou mesmo uma anaacutelise de impacto
nos negoacutecios toacutepicos que estaratildeo nas proacuteximas
ediccedilotildees mal elaboradas
Hoje vamos focar em um dos aspectos mais
importantes e que pode simplesmente acabar com o
mais bem elaborado dos planos Para isso vou pedir
a ajuda de minha seacuterie preferida Os Simpsons
Janeiro 2012 bull segurancadigitalinfo
Scott Adams ndash Dilbert Cartoon amplamentedivulgado mas que natildeo tem igual quando o assuntoeacute mostrar a fragilidade de um PRD
Mr Burns e a simulaccedilatildeo de incecircndioSe vocecirc possui acesso a internet neste momento
recomendo parar esta leitura por alguns segundos e
dar uma olhadinha neste viacutedeo do episoacutedio
ldquoA montanha da loucurardquo dos Simpsons
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
brlinkedincompubclC3A1udioshydodt51a4723
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital20
Natildeo Posso atestar em primeira matildeo que jaacute conduzi um teste semelhante em uma instituiccedilatildeo financeira
que resultou no ldquoHomer localrdquo pegando uma vassoura para tentar silenciar o alarme de incecircndio que o
estava importunando Nice
Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais
motivos de falha (que acredito serem os mesmos do meu exemplo real)
Se vocecirc natildeo tem acesso a internet ou estaacute sem paciecircncia segue um resumo
Um belo dia estando entediado no trabalho o Sr Burns ndash dono da usina
nuclear de Springfield ndash resolve agitar as coisas e escolhe um cenaacuterio comum a
qualquer empresa ndash um ldquovelho e bomrdquo fire drill (teste de evacuaccedilatildeo de
incecircndio)
O que se vecirc a seguir satildeo uma seacuterie de trapalhadas no estilo Simpsons
culminando em Homer trancando a maioria dos empregados e perguntando se
tinha ganho o precircmio por ser o primeiro a sair do escritoacuterio Nada mais longe da
realidade correto
Erro I Nem os melhores planos duram para sempre
Primeiramente vamos olhar os cenaacuterios de teste a disposiccedilatildeo de Mr
Burns
bull Alerta de derretimento (do reator nuclear)
bull Ataque de cachorros loucos
bull Ataque de Zepelim
bull Evacuaccedilatildeo de Incecircndio
Como vimos em Fukushima um alerta de derretimento eacute obviamente
pertinente a uma usina nuclear e quanto a cachorros loucos
realmente natildeo sei o que dizer
Poreacutem o uacuteltimo ataque de Zepelim foi registrado em 1940 ainda
durante a segunda guerra mundial
Eis o primeiro grande erro Assumindo que a seacuterie dos Simpsons se
passava nos anos 90 acredito que deixar um plano que caiu em
desuso por 50 anos natildeo possa ser considerado uma boa praacutetica
Infelizmente este cenaacuterio me lembra muito mais a realidade do que
ficccedilatildeo pois como consultor eacute algo com que me deparo em empresas
em diversos portes com uma frequecircncia que considero nada menos
que assustadora
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital21
E a cereja do bolo
1 Carl pensa que o alarme de incecircndio eacute o microshyondas avisando que as pipocas estatildeo prontas
2 Lenny espera o cafeacute ficar pronto antes de sair
3 Vaacuterios empregados correm em aparente desespero
4 Um empregado usa um extintor para ldquose defenderrdquo
5 Homer volta a seu escritoacuterio para buscar um retrato
6 Um empregado corre desesperado em ciacuterculos sem tomar nenhuma outra accedilatildeo aparente
7 O plano de evacuaccedilatildeo deveria ser concluiacutedo em 45 segundos mas o Smiters natildeo sabe
informar quanto tempo levou pois o cronometro soacute marca ateacute 15 minutos
Erro dois Estamos preparados
Vamos a uma breve lista das pequenas trapalhadas do viacutedeo dos Simpsons
8 Homer (que para quem natildeo sabe eacute inspetor de seguranccedila) tranca os demais empregados e
pergunta se ganhou um premio
Em resumo o que estamos vendo eacute
Novamente devo dizer que os erros acima apresentados natildeo poderiam estar mais proacuteximos da realidade
Dentre os muitos exemplos que jaacute vi pessoalmente ressalto o caso de uma funcionaria que natildeo queria
deixar o escritoacuterio sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram
para buscar algum tipo de pertence pessoal ou da empresa
Esta eacute a infeliz realidade dos planos informais que se baseiam na intuiccedilatildeo das pessoas A criaccedilatildeo de uma
cultura institucional eacute a chave de sucesso de qualquer PRD ou PCN Lembreshyse sempre mesmo com
uma boa preparaccedilatildeo a reaccedilatildeo dos seres humanos eacute um dos pontos mais imprevisiacuteveis em momentos de
crise e em especial durante desastres
Como escapar dessas armadilhasPresumir eacute a chave do insucesso e a base para criaccedilatildeo de planos ineficazes
1 Presumir que algo eacute conhecido quando na verdade ningueacutem conhece
2 Presumir que algo eacute simples quando natildeo o eacute
E especialmente
3 Que existe algueacutem competente tomando conta deste algo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital22
Planos de recuperaccedilatildeo de desastres ou de continuidade de negoacutecios satildeo elementos ldquovivosrdquo e devem ser
tratados desta forma natildeo basta criar um bom plano e acreditar que sua organizaccedilatildeo estaraacute protegida
PDCA ABNT NBR 15999shy 1
Qualquer bom profissional de continuidade de negoacutecios vai lhe garantir que os dois aspectos mais
importantes para garantir a pertinecircncia de um PCN a sua organizaccedilatildeo satildeo revisatildeo e treinamento
A dinacircmica da maioria das empresas acarreta em aquisiccedilotildees fusotildees novos negoacutecios entrada e saiacuteda de
colaboradores Planos devem ser revisados com uma periodicidade regular (recomendo intervalos natildeo
maiores que 12 meses) e adequadamente comunicados a todos os indiviacuteduos envolvidos
Testes perioacutedicos satildeo uma parte essencial mas cuidado natildeo faccedila como o Mr Burns que aprendeu da
forma mais difiacutecil um teste mal planejado pode ter um impacto bastante similar a um desa stre real
shyshyshy
httpwwwyoutubecomwatchv=ZHRWg70apMM
httpenwikipediaorgwikiHelmuth_von_Moltke_the_Elder
httpenwikipediaorgwikiMountain_of_Madness
httpwwwabntcatalogocombrnormaaspxID=59370
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital23
Conscientizaccedilatildeodos riscos daInternet
Ainda no iniacutecio da INTERNET as primeiras
vulnerabilidades foram descobertas e exploradas por
pesquisadores Com a liberaccedilatildeo da tecnologia para
o resto do mundo novas vulnerabilidades
documentadas e que ainda natildeo haviam sido
corrigidas pelas fabricantes ou pelos
administradores passaram a ser exploradas por
jovens que possuiacuteam oacutetimos conhecimentos
tecnoloacutegicos
No primeiro momento o que esses jovens
desejavam era apenas vangloriarshyse de seus feitos
eles desfiguravam sites ou mandavam mensagens
eletrocircnicas fingindo serem outras pessoas Pouco
tempo depois os primeiros coacutedigos maliciosos
comeccedilaram a surgir mas ainda com o intuito de
diversatildeo Hoje as motivaccedilotildees para os ataques satildeo
as mais diversas os jovens que brincavam com a
computaccedilatildeo no iniacutecio da INTERNET estatildeo adultos o
desenvolvimento das tecnologias e a disponibilidade
de informaccedilotildees contribuem largamente para a
proliferaccedilatildeo das ameaccedilas e ataques virtuais
Podemos destacar as principais motivaccedilotildees para os
ataques como sendo emocionais destrutivas
financeiras poliacuteticas militares e religiosas
Neste artigo falaremos apenas das ameaccedilas
emocionais nas proacuteximas ediccedilotildees falaremos sobre
as demais sempre informando como evitaacuteshylas ou
minimizar seu impacto
O que podemos falar sobre motivaccedilotildees emocionais
Um teacutermino ou descoberta de problemas em um
BILHOtildeES DE PESSOAS CONECTADAS 1 BILHAtildeO DE NOVAS PAacuteGINAS CRIADAS 2350000TWEETS 1900000 MENSAGENS 1200000 COMENTAacuteRIOS NO FACEBOOK DIAacuteRIOS EMILHARES DELES SAtildeO SOBRE VOCEcirc
Janeiro 2012 bull segurancadigitalinfo
O MUNDO VIRTUALEacute MAIS REAL DOQUE PARECE
POR Julio Carvalho
Linkedin httpbrlinkedincominjulioinfo
Eshymail julioinfogmailcom
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
relacionamento uma demissatildeo natildeo esperada (e
considerada indevida) clientes ou comerciantes
insatisfeitos ou o agora tatildeo falado cyberlbullying
Natildeo satildeo poucos os casos de pessoas que satildeo
demitidas ou tem seu relacionamento terminado por
informaccedilotildees publicadas nas redes sociais ou que se
vingam de seus chefes e parceiros atraveacutes das
mesmas redes sociais Ateacute mesmo as empresas de
RH tecircm avaliado os perfis nas redes sociais de
candidatos a vagas
Crianccedilas adolescentes e adultos sofrem
diariamente em todo o mundo de ataques de
ldquocolegasrdquo ou desconhecidos com mensagens
ofensivas relacionadas agraves suas caracteriacutesticas
fiacutesicas ou psicoloacutegicas
Por incriacutevel que pareccedila isso eacute muito comum todos
fazem ou fizeram e sofrem ou sofreram com isso em
maiores ou menores proporccedilotildees Aquele seu amigo
de anos e anos (ou vocecirc mesmo) que eacute negro ou
muito branco gordo ou muito magro com orelhas
grandes cabelo engraccedilado ou qualquer outra
caracteriacutestica que sirva de ldquobrincadeirasrdquo que sofria
com suas gozaccedilotildees pode continuar sofrendo com
isso mesmo depois de adulto
O problema atual eacute que com o avanccedilo da tecnologia
e a possibilidade de se tornar anocircnimo as
ldquoagressotildeesrdquo passaram a ser registradas e
consequentemente divulgadas para todos (textos
fotos e viacutedeos) natildeo ficando restrita apenas aos
envolvidos (caccedilador e caccedila)
Haacute deacutecadas diversas Escolas e Universidades do
mundo tecircm casos de assassinatos em massa
causados por jovens que ldquosofreramrdquo bullying por
seus colegas Infelizmente no Brasil tivemos um
caso similar Se o bullying contra essas pessoas
realmente ocorreu ou natildeo eacute outra questatildeo
Muitos falam que antigamente esse tipo de coisa
natildeo acontecia que isso eacute uma frescura e que as
pessoas precisam aprender a lidar com seus
problemas Independente da opiniatildeo de cada um o
fato eacute que o problema existe e pessoas estatildeo
sofrendo cada vez mais com ele Precisamos entatildeo
pensar em como evitar que o bullying ocorra como
perceber que uma pessoa sofreu danos psicoloacutegicos
com as ldquoagressotildeesrdquo e natildeo perder vidas no decorrer
do problema e como evitar publicar informaccedilotildees
que possam ser utilizadas contra noacutes
O uso indiscriminado das redes sociais tem feito
com que essa praacutetica aumente assustadoramente
os pais devem ficar atentos ao que seus filhos
fazem quando utilizam o computador Os mesmos
cuidados com pedofilia devem ser tomados a fim de
manter a proteccedilatildeo deles e de evitar que possam ser
causadores de problemas tambeacutem Natildeo eacute incomum
os pais se surpreenderem com ldquocoisasrdquo realizadas
pelos seus ldquofilhinhos queridosrdquo
Os casos podem se tornar mais agressivos
dependendo do estado emocional que cause ldquoraivardquo
ou ldquodesejo de vinganccedilardquo no indiviacuteduo Jaacute houve
casos em que pessoas que natildeo ficaram satisfeitas
com o atendimento prestado por vendedores em
lojas e resolveram se vingar divulgando informaccedilotildees
falsas ou criacuteticas sobre o vendedor ou ateacute mesmo
invadindo a loja com um carro Em um caso grave
um vizinho invadiu a rede wishyfi de outro e acessou
diversos sites de pornografia e pedofilia Apoacutes quase
causar a prisatildeo e teacutermino do casamento da viacutetima
acabou sendo descoberto por uma investigaccedilatildeo
policial que foi realizada
Para exemplificar os problemas descritos nos
uacuteltimos meses tivemos as seguintes notiacutecias
divulgadas nos principais jornais e revistas do paiacutes
ARTIGO Seguranccedila Digital24
1 Dono de churrascaria usa Facebook e Twitter
da empresa para xingar cliente que natildeo deu
gorjeta shy [1]
2 Cyberbullying cresce mais que bullying comum
shy [2]
Janeiro 2012 bull segurancadigitalinfo
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigitalinfo
Esses satildeo apenas alguns exemplos de casos em
que informaccedilotildees publicadas na grande rede podem
causar bastante estrago Em alguns casos mais
graves pessoas satildeo mortas ou se suicidam devido agrave
maacute receptividade de publicaccedilotildees ou por agressotildees
sofridas
Muito se fala em privacidade mas todos se
esquecem dela quando postam seus comentaacuterios
sobre sentimentos festas ou amigos quando
postam fotos de viagens lindas e maravilhosas (e o
ladratildeo aproveita para invadir e roubar sua casa)
quando elogiam ou criticam estabelecimentos
comerciais e produtos
Opiniotildees percepccedilotildees sentimentos e capacidade de
decisatildeo e comunicaccedilatildeo satildeo os que nos definem
como seres humanos Precisamos sim nos
expressar sobre o que nos agrada ou natildeo mas
precisamos estar preparados para as possiacuteveis
consequecircncias Se vocecirc natildeo quer ser avaliado por
algo que pense entatildeo natildeo comente
OK OK OK precisamos ficar atentos e minimizar
possiacuteveis conflitos mas como tentar evitar que
sejamos um possiacutevel alvo
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital25
shy Evite causar a raiva ou conflitos com outras
pessoas o diaacutelogo eacute sempre a melhor soluccedilatildeo
shy Ative a seguranccedila da sua rede wishyfi
shy Tenha softwares de seguranccedila no seu
computador (antivirus firewall controle de
conteuacutedo)
shy Controle o acesso a internet de crianccedilas
shy Fique atendo a mudanccedilas de comportamento
de filhos e amigos
shy Evite publicar informaccedilotildees de viagens durante a
viagem caso sua casa esteja vazia
shy Evite criacuteticas a estabelecimentos enquanto
estiver neles ou sem possuir provas
shy Fale com um advogado caso sofra ameaccedilas ou
ofensas constantes
shy Registre um BO caso sinta que corre perigo
real
[1] Link
httpwwwtechtudocombrnoticiasnoticia2012
01donoshydeshychurrascariashyusashyfacebookshyeshytwittershy
dashyempresashyparashyxingarshyclienteshyqueshynaoshydeushy
gorjetahtml
[2] Link
httpinfoabrilcombrnoticiasinternetcyberbullyi
ngshycresceshymaisshyqueshybullyingshycomumshy22112011shy
23shl
[3] Link
httpg1globocomtecnologianoticia201111ap
pleshydemiteshyfuncionarioshyporshycomentarioshynegativoshy
noshyfacebookhtml
[4] Link
httpidgnowuolcombrinternet20111230face
bookshyeshycausashydeshyumshyemshycadashytresshydivorciosshynashy
inglaterra
3 Apple demite funcionaacuterio por comentaacuterio
negativo no Facebook shy [3]
4 Facebook eacute causa de um em cada trecircs
divoacutercios na Inglaterra shy [4]
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital26
Entendendo aseguranccedila nas redessem fio
As redes wireless satildeo hoje amplamente utilizadas
em ambientes corporativos e domeacutesticos devido aacute
fatores como flexibilidade e faacutecil adaptaccedilatildeo ao
ambiente permitindo aos dispositvos se
interconectarem em diversos locais dentro de sua
aacuterea de cobertura Disponibiliza novos pontos de
acesso onde inicialmente natildeo existiam
possibilidades de conexatildeo devido haacute impossibilidade
do alcance dos fios e deixa o ambiente mais
organizado aleacutem de serem relativamente faacuteceis de
instalar
Mesmo com fatores vantajosos quanto a sua
utilizaccedilatildeo a tecnologia wireless traz fatores
importantes que devem ser observados para que
natildeo ocorram problemas no futuro Um desses
fatores eacute justamente o que na maioria das vezes
recebe menor atenccedilatildeo ou natildeo recebe a atenccedilatildeo
adequada dos administradores de rede ou usuaacuterios
domeacutesticos e eacute sobre ele que iremos falar a
seguranccedila em redes wireless Configuraccedilotildees de
seguranccedila baacutesicas ou de faacutebrica jaacute natildeo suportam
mais o momento pelo qual passamos e eacute necessaacuteria
uma reflexatildeo maior do quanto podemos estar
expostos e quais seratildeo as perdas no caso de algum
incidente de seguranccedila
Nos uacuteltimos anos a questatildeo de seguranccedila estaacute
sendo muito discutida pelos profissionais do meio de
TI As redes wireless tambeacutem estatildeo sujeitas a
ataques e o protocolo 80211 possui um niacutevel de
seguranccedila baixo em sua configuraccedilatildeo padratildeo o que
aumenta ainda mais a preocupaccedilatildeo com este
aspecto Ataques como a exploraccedilatildeo de
configuraccedilatildeo padratildeo de faacutebrica access point
spoofing (um cracker se faz passar por um access
point e o cliente pensa estar se conectando a uma
rede wireless legiacutetima) negaccedilatildeo de serviccedilo WEP
attack (ataque visando a quebra da chave WEP para
accesso aacute rede) interceptaccedilatildeo e monitoramento satildeo
alguns tipos de ataques e praacuteticas utilizados com
muita eficiecircncia pelos crackers e podem resultar no
acesso ou roubo de informaccedilotildees acesso aacute redes
privadas invasatildeo de privacidade obtenccedilatildeo de
senhas utilizaccedilatildeo indevida dos recursos da rede ou
ateacute mesmo indisponibilidade dos serviccedilos o que
pode trazer grande dor de cabeccedila principalmente agraves
empresas
Janeiro 2012 bull segurancadigitalinfo
POR Thiago Fernandes Gaspar Caixeta
Twitter tfgcaixeta
Eshymail thiagocaixetagmailcom
CONHECcedilA AS SOLUCcedilOtildeES DESEGURANCcedilA EXISTENTES E SAIBACOMO PREPARAR UM AMBIENTEMAIS SEGURO
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Questotildees relativas a ataques e roubos de
informaccedilotildees ficaram ainda mais evidentes com a
onda de ataques de grupos como o LuzSec com
unidades distribuiacutedas ao redor do mundo causando
pacircnico e medo aacutes grandes corporaccedilotildees e usuaacuterios
gerando duacutevidas se realmente estatildeo protegidos
Os usuaacuterios acreditavam estarem seguros pois
adquiriram seu equipamento de um fornecedor
renomado no mercado e seguiram orientaccedilotildees
baacutesicas de instalaccedilatildeo ou simplesmente apenas
conectaram e alteraram a senha de acesso ao
hardware configurado Em ambos os casos
contextualizandoshyos aacutes redes wireless podemos
notar que a desinformaccedilatildeo quanto a questotildees
relevantes eacute bastante visiacutevel a esta tecnologia
Assim nosso objetivo aqui eacute mostrar soluccedilotildees de
seguranccedila disponiacuteveis para as redes wireless e suas
principais caracteriacutesticas bem como orientaacuteshylos
quanto a uma configuraccedilatildeo adequada
WEPO protocolo de seguranccedila WEP shy Wired Equivalency
Privacy foi desenvolvido por um grupo de
voluntaacuterios membros do IEEE shy Institute ofElectrical Electronics Engineers como proposta de
se tornar um mecanismo de seguranccedila para as
redes 80211 com o objetivo que nenhum dispositivo
conseguisse se conectar a rede sem uma
autorizaccedilatildeo preacutevia autorizaccedilatildeo esta baseada no
fornecimento de uma chave (combinaccedilatildeo de
caracteres como uma senha) preacuteshyestabelecida que
autorizasse o dispositivo a se conectar a rede
wireless O protocolo WEP eacute baseado no meacutetodo de
criptografia RC4 podendo ter o comprimento de 64
bits ou 128 bits Tambeacutem se propocircs a atender a
outras necessidades de seguranccedila do padratildeo criado
visando garantir que as informaccedilotildees trafegadas natildeo
fossem ouvidas por terceiros natildeo autenticados na
rede e tambeacutem natildeo sofressem alteraccedilotildees ateacute chegar
a seu destinataacuterio
O grande problema deste padratildeo eacute que ele pode ser
facilmente quebrado ou craqueado ou seja sua
chave para acesso aacute rede pode ser facilmente
descoberta ateacute mesmo por usuaacuterios com pouco
domiacutenio de informaacutetica com o auxiacutelio de softwares
especiacuteficos Em seu processo criptograacutefico para o
modelo de 64 bits o algoritmo RC4 cria a partir da
junccedilatildeo de sua chave fixa de 40 bits e uma
sequecircncia de 24 bits variaacutevel mais conhecida como
vetor de inicializaccedilatildeo shy IV uma sequecircncia de bits
pseudoaleatoacuterios que atraveacutes de operaccedilotildees XOR
(Ou Exclusivo) com os dados geram os dados
criptografados a serem transmitidos Eacute importante
ressaltar que no envio dos dados o vetor de
inicializaccedilatildeo tambeacutem seraacute enviado O processo de
descriptografia por parte do receptor ocorre de modo
inverso uma vez que este tambeacutem conhece a chave
fixa e o vetor de inicializaccedilatildeo foi enviado junto ao
pacote
Como o padratildeo 80211 natildeo especifica como deve
ser a criaccedilatildeo e o funcionamento dos vetores de
inicializaccedilatildeo dispositivos de um mesmo fabricante
podem ter uma sequecircncia igual ou constante destes
vetores dependendo dos criteacuterios designados pelo
fabricante Desta forma os crackers ou usuaacuterios mal
intencionados podem monitorar o traacutefego da rede e
analisando uma determinada quantidade de
pacotes poderaacute descobrir a chave utilizada para
acesso aacute rede sem maiores problemas
WPADiante dos problemas de seguranccedila apresentados
pelo padratildeo WEP a WishyFi Alliance uma associaccedilatildeo
sem fins lucrativos formada em 1999 para certificar
os produtos baseados no padratildeo 80211 quanto a
sua interoperabilidade aprovou e disponibilizou em
2003 o protocolo WAP shy Wired Protected Access
que tecircm por base os conceitos do padratildeo WEP nos
quesitos de autenticaccedilatildeo e cifragem dos dados mas
os realiza de maneira mais segura mantendo o bom
desempenho e a baixo consumo de recursos
computacionais que o WEP jaacute proporcionava
sendo totalmente compatiacutevel com o hardware jaacute
existente bastando para sua utilizaccedilatildeo uma simples
atualizaccedilatildeo de firmware
O WPA utiliza o IV com 48 bits visando melhorar sua
seguranccedila junto a um protocolo chamado TKIP shy
Temporal Key Integrity Protocol que se propotildee a
mesmo que o cracker consiga descobrir a chave
para acesso seu acesso iraacute durar um tempo restrito
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital27
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
pois o TKIP aplica ao processo uma chave
temporaacuteria que iraacute expirar em poucos segundos e
seraacute necessaacuteria uma nova ou seja o invasor teraacute
que invadir a rede novamente para que consiga uma
nova chave uma vez que esta eacute alterada a cada
pacote e sincronizada novamente entre o cliente e o
access point da rede
8021xO padratildeo 8021x foi definido pelo IEEE e tem sido
muito utilizado nas redes sem fio poreacutem demanda
uma infraestrutura superior aos outros meacutetodos para
o seu bom funcionamento O protocolo WPA citado
anteriormente utiliza este padratildeo para resolver os
problemas relativos a autenticaccedilatildeo que vieram
incorporados do protocolo WEP
Este protocolo visa controlar o acesso aacutes redes
baseado em portas sendo possiacutevel tambeacutem o
controle baseado na autenticaccedilatildeo muacutetua entre o
cliente e a rede atraveacutes de servidores de
autenticaccedilatildeo do tipo RADIUS shy Remote
Authentication Dial In User Service para que de
acordo com a Microsoft definir um padratildeo popular
usado para manter e gerenciar autenticaccedilatildeo de
usuaacuterio remoto e validaccedilatildeo
Este padratildeo utiliza um protocolo de autenticaccedilatildeo
chamado EAPshyExtensible Authentication Protocol
que realiza o gerenciamento da autenticaccedilatildeo muacutetua
no processo de autenticaccedilatildeo Existem algumas
possibilidades que podem ser usadas como meacutetodos
de autenticaccedilatildeo uso de senha certificado digital ou
token o que aumenta significativamente o niacutevel de
seguranccedila
A autenticaccedilatildeo ocorre com a participaccedilatildeo de trecircs
partes o suplicante que eacute o usuaacuterio que deseja ser
autenticado o servidor RADIUS que realiza a
autenticaccedilatildeo dos requisitantes e o autenticador que
eacute quem intermedia esta transaccedilatildeo entre as partes
citadas inicialmente papel este designado ao access
point O processo de autenticaccedilatildeo se inicia com o
suplicante e eacute logo detectado pelo autenticador que
abre a porta pra o suplicante Em seguida o
autenticador solicita a identidade de acesso ao
suplicante que envia a informaccedilatildeo solicitada Ao
receber a identidade esta eacute repassada pelo
autenticador ao servidor RADIUS para que este
autentique o suplicante devolvendo ao autenticador
uma mensagem de ACCEPT ou seja uma
confirmaccedilatildeo que a autorizaccedilatildeo fora concedida
Assim o traacutefego eacute liberado pelo autenticador ao
suplicante que logo em seguida solicita a identidade
ao servidor para que ele o autentique e assim o
traacutefego dos dados seja liberado
Este tipo de autenticaccedilatildeo eacute mais utilizada em
ambientes empresariais poreacutem pode ser utilizada
em ambiente domeacutestico configurandoshyse a rede
para que o proacuteprio suplicante assuma o papel do
servidor RADIUS no processo descrito
anteriormente Este modelo pode ser encontrado
tambeacutem em alguns dispositivos com o nome de
WPA Enterprise ou WPARADIUS
80211iWPA2O padratildeo O IEEE 80211i tambeacutem conhecido com
WPA2 foi desenvolvido com o intuito de se obter um
niacutevel de seguranccedila ainda mais aprimorado que o
protocolo WPA que mesmo tendo diversas
melhorias em relaccedilatildeo ao WEP ainda era desejo de
todos ter um esquema de seguranccedila mais forte e
confiaacutevel Uma grande inovaccedilatildeo deste padratildeo eacute a
substituiccedilatildeo do meacutetodo criptograacutefico do WPA o
TKIP por outro meacutetodo mais seguro e eficiente O
meacutetodo escolhido o AES shy Advanced Encryption
Standard conhecido tambeacutem por algoriacutetimo de
Rijndael oferece chave de tamanhos 128 192 e 256
bits e eacute resistente a vaacuterios tipos de teacutecnicas
conhecidas de anaacutelises criptograacuteficas sendo
amplamente utilizado em soluccedilotildees que visam um
niacutevel de seguranccedila mais sofisticado
Este novo padratildeo implementa um novo tipo de rede
wireless denominado de rede robusta de seguranccedila
ou RSN shy Robust Security Network que eacute composto
por duas partes o meacutetodo de criptografia AES para
a criptografia do traacutefego nas redes sem fio e o
padratildeo IEEE 8021x para a autenticaccedilatildeo e o
gerenciamento da chave criptograacutefica A utilizaccedilatildeo
deste padratildeo eacute mais recomendada para quem
possui uma boa capacidade de processamento
equipamentos compatiacuteveis e deseja obter um niacutevel
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital28
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
de seguranccedila superior aos outros protocolos sendo
necessaacuteria uma avaliaccedilatildeo da infraestrutura existente
a fim de se verificar se os dispositivos existentes
suportam essa nova tecnologia
O papel dos filtros nas redes sem fioVocecirc pode ainda aumentar o niacutevel de seguranccedila de
sua rede utilizandoshyse dos filtros de SSID endereccedilo
MAC e protocolos
SSID shy Service Set Identifier eacute o nome do ponto de
acesso aacute rede sem fio configurada Ocultar o SSID
da rede pode tornaacuteshyla invisiacutevel perante terceiros e
teoricamente soacute quem possuir o SSID da rede e as
credenciais de acesso teratildeo como acessaacuteshyla poreacutem
com a utilizaccedilatildeo de um software especiacutefico (um
sniffer) eacute possiacutevel descobrir o SSID de uma
determinada rede Isto eacute possiacutevel pois os access
points enviam de tempos em tempos este SSID para
que seus clientes possam se comunicar quando natildeo
configurados manualmente na maacutequina cliente
Assim com pouco tempo de monitoramento seraacute
possiacutevel descobrir o SSID e para possiacuteveis
invasores este poderaacute ser o pontapeacute inicial para sua
tentativa de invasatildeo
Os endereccedilos MAC shy Media Access Control satildeo
nuacutemeros uacutenicos e exclusivos que identificam um
dispositvo de rede Funcionam como a identidade do
dispositivo perante aos inuacutemeros dispositivos de
redes existentes em uma rede IP e muitas vezes satildeo
chamados de endereccedilos fiacutesicos atuando na camada
dois do modelo OSI Com a utilizaccedilatildeo do filtro por
endereccedilos MAC eacute possiacutevel que vocecirc especifique
quais dispositivos poderatildeo acessar a sua rede ou
em alguns casos quais dispositivos natildeo poderatildeo
acessar a sua rede Esta configuraccedilatildeo eacute realizada
diretamente no access point da rede de forma
manual e a cada tentativa de conexatildeo seraacute
verificado o MAC do solicitante a fim de constatar se
este estaacute ou natildeo inserido na lista de MACs
permitidos ou negados do access point impedindo
ou natildeo a sua comunicaccedilatildeo com a rede Em um
primeiro momento parece ser um meacutetodo
interessante de filtragem mas tambeacutem possui
problemas que o inviabilizam como um meacutetodo forte
de seguranccedila Em qualquer tipo de ambiente de
rede se um dispositivo de rede for roubado ou
perdido caso o fato natildeo seja comunicado aos
administradores da rede quem possuir este
dispositivo poderaacute se conectar aacute rede e ter acesso
completo a ela pois seu endereccedilo MAC encontrashy
se cadastrado no access point Outro problema
assim como na filtragem por SSID satildeo a utilizaccedilatildeo
de sniffers por invasores que podem descobrir e
utilizar um endereccedilo MAC vaacutelido clonandoshyo em seu
dispositvo para utilizar a rede desejada Eacute um
meacutetodo que pode auxiliar na seguranccedila de rede
poreacutem seu uso eacute mais voltado para ambientes
domeacutesticos ou pequenas redes corporativas uma
vez que todo o processo deve ser realizado de
forma manual tornando seu gerenciamento bastante
complicado
Outra possibilidade visando aumentar a seguranccedila
de sua rede eacute utilizar filtros de protocolos filtrando
os pacotes que trafegam na rede Existe a
possiblidade de criar filtros para os protocolos HTTP
HTTPS SMTP FTP etc que iriam filtrar o traacutefego
destes protocolos restringindo os demais e
aumentando assim o niacutevel de seguranccedila Estas
opccedilotildees satildeo interessantes dependendo do tipo de
ambiente no entanto vale lembrar que satildeo apenas
opccedilotildees auxiliares a um meacutetodo de seguranccedila mais
completo pois natildeo oferecem a seguranccedila
necessaacuteria quando implementados individualmente
podendo deixar a rede exposta e vulneraacutevel
Dicas para tornar seu ambiente wireless maisseguro
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital29
A primeira coisa a fazer eacute ler o manual do
fabricante Ele conteacutem informaccedilotildees importantes
sobre a configuraccedilatildeo e aspectos de seguranccedila
da rede
Instale fisicamente o access point
preferencialmente longe de portas e janelas
Faccedila alguns testes com a intensidade do sinal e
caso possiacutevel regule o access point para que o
sinal fique restrito apenas ao ambiente em que
seraacute utilizado
Atualize o firmware do access point para a
bull
bull
bull
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital30
versatildeo mais recente Poderaacute haver updates de
seguranccedila ou melhorias nessas atualizaccedilotildees
Altere as configuraccedilotildees padrotildees de faacutebrica de
seu dispositivo como nome padratildeo do SSID
(coloque um nome que natildeo reflita grande
importacircncia ao local em que a rede estaacute
instalada Ex Um banco nomear a rede como
Rede Wireless Banco X pode chamar mais
atenccedilatildeo) senha de acesso aacute interface de
administraccedilatildeo (utilize senhas fortes com
nuacutemeros letras maiuacutesculas letras minuacutesculas e
caracteres especiais com no miacutenimo oito
caracteres)
Habilite um tipo de encriptaccedilatildeo para a rede Decirc
preferecircncia ao WPA e se disponiacutevel o WPA2
Caso possua um ambiente com um nuacutemero
maior de clientes e seja necessaacuterio um niacutevel de
seguranccedila maior vocecirc pode habilitar um servidor
RADIUS tambeacutem
Em certos ambientes vocecirc pode fazer uma
combinaccedilatildeo de soluccedilotildees utilizando os filtros
como por exemplo filtros por endereccedilo MAC +
WPA WPA2 etc + filtros por protocolos ou
algum outro tipo de combinaccedilatildeo com estas
soluccedilotildees tornando mais completa sua soluccedilatildeo
de seguranccedila para sua rede
Vocecirc pode tambeacutem desabilitar o broadcast de
SSID mas fazendo isso vocecirc deve informar o
SSID da rede ao cliente e o mesmo deveraacute
realizar a conexatildeo informando o SSID de forma
manual Isso pode deixar sua rede menos
exposta a terceiros em um primeiro momento
Se disponiacutevel e compatiacutevel com os serviccedilos que
seratildeo disponibilizados na rede habilite o firewall
do dispositivo
Desabilite a opccedilatildeo para gerenciamento do
access point atraveacutes da rede sem fio deixandoshyo
gerenciaacutevel somente pela rede cabeada assim
como se existente desabilitar a opccedilatildeo de gestatildeo
remota do dispositivo
Caso viaacutevel desabilite o serviccedilo de DHCP
Atribua endereccedilos de IP fixos aos clientes Assim
possiacuteveis invasores natildeo iratildeo conhecer a faixa de
ips que sua rede trabalha conseguindo menores
informaccedilotildees sobre ela Vocecirc pode tambeacutem limitar
nuacutemero de endereccedilos ips disponiacuteveis aacute sua rede
a quantidade exata que precisar
Monitore constantemente sua rede wireless
Os access point possuem interfaces para
acompanhar em tempo real quais dispositivos
estatildeo conectados a ela assim como logs que
registram o traacutefego da rede contendo
informaccedilotildees como autenticaccedilotildees acessos
autorizados e indevidos dentre outros Desconfie
se notar algo fora do comum em sua rede como
por exemplo lentidatildeo excessiva em determinados
horaacuterios do dia ou qualquer outra situaccedilatildeo que
fuja do uso normal ao qual vocecirc jaacute estaacute
acostumado
Mantenha seu ambiente computacional sempre
atualizado com firewall e antiviacuterus devidamente
configurados e atualizados Isto eacute importante
para todo o seu trabalho realizado no
computador mas tambeacutem iraacute auxiliar em sua
proteccedilatildeo contra algo mal intencionado
proveniente da rede
bull
bull
bull
bull
bull
bull
bull
bull
Curiosidades Wardriving e WarchalkingWardriving eacute uma praacutetica que consiste em uma
pessoa andar pelas ruas da cidade munida de
dispositivos com acesso aacutes redes sem fio e
softwares com o objetivo de tentar localizar
identificar e registar caracteriacutesticas e posiccedilotildees
destas redes sejam elas redes corporativas ou
domeacutesticas No caso de pessoas mal
intencionadas possivelmente estas redes estaratildeo
sujeitas a invasatildeo A praacutetica surgiu nos Estados
Unidos com Peter M Shipley um especialista em
seguranccedila de rede e telecomunicaccedilotildees que em
2001 conseguiu interceptar e gerenciar um sinal de
rede wireless entre o transmissor e receptor a uma
distacircncia de quarenta quilocircmetros entre eles
Para as empresas pode ser de grande valia pois
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
seus profissionais de seguranccedila podem sair a
procura de falhas ou vulnerabilidades em suas
proacuteprias redes com o intuito de melhoraacuteshylas Pode
ser tambeacutem considerado um passatempo ou hobby
para algumas pessoas seja por diversatildeo ou apenas
curiosidade teacutecnica sem maiores intenccedilotildees Existe
tambeacutem a possibilidade da busca por acesso livre a
internet ou invasatildeo das redes com objetivos
diversos o que pode acarretar problemas legais
para seus praticantes em caso de acesso natildeo
autorizado que no Brasil eacute respaldado pelo Coacutedigo
Penal Brasileiro em sua Seccedilatildeo V shy Dos Crimes
contra a inviolabilidade de sistemas informatizados
no Art 154 shy A que diz que acessar indevidamente
ou sem autorizaccedilatildeo meio eletrocircnico ou sistema
informatizado pode gerar uma penalidade de
detenccedilatildeo de trecircs meses a um ano e ainda multa No
entanto a praacutetica natildeo eacute detectada facilmente assim
a aplicaccedilatildeo de qualquer puniccedilatildeo tornashyse muito
difiacutecil
No Brasil existe um movimento chamado
WardrivingDay criado com o objetivo de educar e
alertar sobre a importacircncia da aacuterea de seguranccedila da
informaccedilatildeo especialmente em seu aspecto teacutecnico
ressaltando frequentemente a importacircncia da
seguranccedila da informaccedilatildeo principalmente nas redes
em fio O projeto eacute composto de pesquisas
realizadas nas redes sem fios encontradas pelas
ruas em que vaacuterios dados satildeo coletados e
comparados com a pesquisa anterior visando
verificar o niacutevel de seguranccedila anterior e o que
mudou apoacutes determinado tempo se foram tomadas
medidas objetivando uma melhoria na seguranccedila
das redes encontradas com falhas de seguranccedila ou
natildeo gerando dados estatiacutesticos importantes para a
aacuterea de seguranccedila
O Warchalking tambeacutem surgiu nos Estados Unidos
em 1929 com a criaccedilatildeo de uma linguagem de
marcas feitas de giz ou carvatildeo criada por andarilhos
com o objetivo de deixar marcado para tercerios o
que estes poderiam encontrar naquele determinado
lugar por exemplo demonstrar que aquele lugar
poderia lhes prover algum tipo de alimento O
conceito estendeushyse aacutes redes sem fio e adeptos
desta praacutetica deixam marcas nas calccediladas das ruas
indicando a posiccedilatildeo de redes em fio se esta eacute
aberta (OpenNode) se eacute fechada para conexatildeo
(Closed Node) qual a largura de banda utilizada ou
utilizam criptografia em aspectos de seguranccedila
(WEP Node)
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital31
ConclusatildeoAs redes sem fios satildeo sem duacutevida bastante
interessantes seja para uso em ambientes
domeacutesticos ou corporativos No entanto eacute
importante conhecer os aspectos de seguranccedila
envolvidos em sua operaccedilatildeo para que possa ser
utilizada com eficiecircncia e de modo seguro
diminuindo os riscos com relaccedilatildeo a possiacuteveis
invasotildees eou vazamento de informaccedilotildees que
possam lhes trazer vaacuterios problemas Natildeo existe
uma receita pronta de seguranccedila para as redes
wireless vocecirc deveraacute pensar qual a combinaccedilatildeo
mais adequada para sua situaccedilatildeo de acordo com
os recursos disponiacuteveis e o niacutevel de proteccedilatildeo
desejado
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigitalinfo
ARTIGO Seguranccedila Digital32
AGUIAR Paulo Ameacuterico Disponiacutevel em lthttpwwwccetunimontesbrarquivosmonografias73pdfgt Acesso
em 17 de jan 2012
ANTIshyINVASAtildeO Disponiacutevel em lthttpwwwantishyinvasaocomsegurancawireleshtmgt Acesso em 16 de jan
2012
BATTISTI Juacutelio Disponiacutevel em lthttpwwwjuliobattisticombrtutoriaispaulocfariasredeswireless033aspgt
Acesso em 16 de jan 2012
BRADLEV Tony Disponiacutevel em lthttpnetsecurityaboutcomodquicktip1qtqtwifistaticiphtmgt Acesso em 18
de jan 2012
CERT BR Disponiacutevel em lthttpcartilhacertbrbandalargasec2htmlgt Acesso em 18 de jan 2012
COMPUTAMANIA Disponiacutevel em lthttpwwwcomputarmaniacomdicasshydeshysegurancashyparashyashysuashyredeshy
wirelessgt Acesso em 17 de jan 2012
COMPNETWORKING Disponiacutevel em lt httpcompnetworkingaboutcomcswirelessgbldef_wardrivehtmgt
Acesso em 18 de jan 2012
FERREIRA Rui Cardoso Alexandre Disponiacutevel em lt httpwwwfcupptfcupcontactostesest_040370023pdfgt
Acesso em 18 de jan 2012
PAULO Maacutercio Disponiacutevel em lthttpredeswirelessdfblogspotcom200805vantagensshyeshydesvantagensshydasshy
redesshysemhtmlgt Acesso em 17 de jan 2012
PEREIRA Heacutelio Disponiacutevel em lthttpwwwginuxuflabrfilesartigoshyHelioPereirapdfgt Acesso em 17 de jan
2012
LEOCADIO Ricardo Material didaacutetico MBA em Gestatildeo da Seguranccedila da Informaccedilatildeo
LINKSYS Disponiacutevel em lthttpwwwlinksysbyciscocomLATAMptlearningcenterHowtoSecureYourNetworkshy
LAptgt Acesso em 16 de jan 2012
LUCAS Weverton Disponiacutevel em lthttpwwwjacomparoucombrartigosprotocolosshydeshysegurancashy comoshy
protegershysuashyredeshywirelessgt Acesso em 09 de jan 2012
WARDRIVING DAY Disponiacutevel em lthttpwwwwardrivingdayorggt Acesso em 18 de jan 2012
WEBARTIGOS Tecnologias em redes em fio Disponiacutevel em lthttpwwwwebartigoscomartigostecnologiasshy
emshyredesshysemshyfio5440gt Acesso em 16 de jan 2012
BRASIL Disponiacutevel em
lthttpwwwwirelessbrasilorgwirelessbrcolaboradoresrodney_peixotoseguranca_wirelesshtmlgt Acesso em
18 de jan 2012
Bibliografia
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
33
Questotildees de CISSP
CISSP ndash Questotildees comentadas
O CISSP (Certified Information System Security Professional) tem duas facetas baacutesicas Se por um lado eacuteuma das certificaccedilotildees mais desejada pelos profissionais da aacuterea de seguranccedila por outro eacutereconhecidamente uma das provas mais exigentes do mercado
O objetivo desta coluna nunca foi preparar possiacuteveis candidatos mas sim mostrar que apesar de ter umniacutevel elevado a prova do CISSP natildeo eacute nenhum bicho de sete cabeccedilas especialmente se vocecirc jaacute temexperiecircncia praacutetica em alguns dos domiacutenios (CBK shy Common Body of Knowledge)
Seguem as questotildees dessa vez selecionamos algumas com as famosas ldquopegadinhasrdquo e a uacutenica dica queeu tenho para este caso eacute ler a questatildeo reler a questatildeo e por uacuteltimo repetir os passos anteriores ateacute vocecircsentir que estaacute seguro o bastante Se isso natildeo funcionar bem vocecirc sempre pode recorrer a um velho ebom FUS RO DAH
Questatildeo 01
Que tipo de ataque envolve a distribuiccedilatildeo de um conteuacutedo falsificado a fim de que um usuaacuterio tome umadecisatildeo incorreta que afeta aspectos relevantes da seguranccedila da informaccedilatildeo
Resposta correta CDificuldade 35
Esta natildeo eacute uma questatildeo especialmente difiacuteci l especialmente se levarmos em consideraccedilatildeo a atenccedilatildeo queo assunto engenharia social tem levado nos uacuteltimos anos A pegadinha aqui eacute que tanto um ataque despoofing como engenharia social envolvem algum tipo de conteuacutedo falsificado Entretanto apenas aresposta correta requer o contato com o usuaacuterio mencionado no enunciado da questatildeo
POR Claacuteudio Dodt
Eshymail ccdodtgmailcom
Blog wwwclaudiododtwordpresscom
br l inkedincompubclC3A1udioshydodt51a4723
ATUALMENTE A CISSP Eacute UMA DAS CERTIFICACcedilOtildeES
MAIS PROCURADAS PELOS PROFISSIONAIS NO
BRASIL A POPULARIDADE DO EXAME TEM FEITO A
(ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO
DO ANO
ARTIGO Seguranccedila Digital
a) Ataque de Falsificaccedilatildeo (Spoofing)b) Ataque de vigi lacircncia (Surveil lance attack)c) Ataque de engenharia sociald) Ataque homemshynoshymeio (Manshyinshytheshymiddle)
Janeiro 2012 bull segurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Questatildeo 02
Durante uma avaliaccedilatildeo do risco vocecirc identificou os seguintes valores para o par ameaccedila risco de um ativoespeciacuteficoValor do ativo (VA) = R$ 10000000Fator de exposiccedilatildeo (FE) = 35Se a Taxa anual de ocorrecircncia (TAO) eacute de 5 vezes por ano o custo de uma contingecircncia recomendado eacute deR$ 5000 por ano o que iraacute reduzir a expectativa de perda anual pela metade Qual eacute a expectativa de umauacutenica perda (SLE shy Single Loss Expectancy)
Resposta correta BDificuldade 35
Uma resposta simples O caacutelculo de uma perda uacutenica eacute definido como o valor do ativo (VA) x o fator deexposiccedilatildeo (FE) = 100000 35 = 3500000 Opa a prova eacute de CISSP ou de matemaacutetica Calma todos oscaacutelculos que satildeo exigidos no exame satildeo simples (e natildeo Vocecirc natildeo pode usar uma calculadora )
O item A representa o ALE (Annual Loss Expectancy ndash Perda anual esperada) que natildeo eacute nada aleacutem daresposta anterior multipl icada pela taxa de anual de ocorrecircncia O item c tambeacutem eacute o ALE desde que acontingecircncia seja efetivada O item d eacute uma mera distraccedilatildeo
Como podemos ver a maior dificuldade nesta questatildeo eacute o excesso de informaccedilatildeo fornecida durante oenunciado Uma boa dica eacute nunca se assustar com uma questatildeo aparentemente complexa Muitas dasinformaccedilotildees no enunciado e tambeacutem nas respostas satildeo apenas distraccedilotildees A melhor dica eacute RTFQ (readthe f question) leia a questatildeo atentamente e busque entender o que realmente estaacute sendo pedido
Questatildeo 03
A entrada em uma aacuterea segura exige um cartatildeo de proximidade durante o horaacuterio normal de expediente e ouso do mesmo cartatildeo seguido de uma senha para acesso fora do horaacuterio de trabalho Qual eacute o controle deseguranccedila que deve ser adotado por uma porta secundaacuteria
Resposta correta DDificuldade 35
Uma questatildeo bem interessante e com uma pegadinha razoaacutevel A resposta correta eacute a D Idealmente umaaacuterea segura (eg Datacenter) deve ter apenas uma uacutenica entrada Entretanto uma porta secundaacuteria podeser exigida por motivos de seguranccedila e as pessoas precisam poder sair facilmente (acredite no caso de umincecircndio vocecirc vai querer uma saiacuteda de emergecircncia) poreacutem esta segunda porta natildeo deve ser usada comoentrada
Todas as outras respostas assumem que a porta secundaacuteria seria uti l izada para entrada e saiacuteda e por issoestatildeo incorretas
a) R$175000b) R$35000c) R$82500d) R$123500
ARTIGO Seguranccedila Digital34
a) O mesmo controle da porta principal por motivos de padronizaccedilatildeob) Uma chave codificadac) Abertura automaacutetica com sensores de movimentod) Uma barra de pacircnico
Janeiro 2012 bull segurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Questatildeo 04
Em que camada do modelo OSI um pacote pode ser corrigido no niacutevel de bit
Resposta correta ADificuldade 55
Como assim Bial A pergunta mais faacutecil eacute a que teve o maior niacutevel de dificuldade Ateacute um estudante deprimeiro semestre de faculdade conhece o modelo OSI
Sim a questatildeo eacute aparentemente simples a resposta eacute a Camada 2 (Camada de Enlace ou Ligaccedilatildeo deDados) mais especificamente o sub niacutevel MAC (Media Access Control) que realiza controle de erro Acamada 4 (transporte) tambeacutem faz controle de erro mas eacute baseado em pacotes e natildeo bits
O importante aqui eacute ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido deuma forma complexa Agora imagine isso para todo o conteuacutedo ldquoteacutecnicordquo do exame e lembre que nem todomundo que busca fazer o CISSP tem foco teacutecnico no dia a dia do trabalho Eacute amigo natildeo estaacute faacutecil paraningueacutem
A dica aqui eacute conhecer seus pontos fortes e fracos e dedicar a atenccedilatildeo necessaacuteria durante a preparaccedilatildeopara o exame Se vocecirc eacute eminentemente teacutecnico reforce os demais assuntos do CBK e procure ter umavisatildeo ldquogerencialrdquo e vice versa
a) Niacutevel 2b) Niacutevel 3c) Niacutevel 4d) Niacutevel 5
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital35
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
ARTIGO Seguranccedila Digital36
Testes de Intrusatildeo - QueBenefiacutecios Podem Trazerpara Sua Organizaccedilatildeo
Durante todo o ano de 2009 tive a oportunidade de
trabalhar no mercado de seguranccedila da informaccedilatildeo
no Reino Unido Inglaterra Ao iniciar os trabalhos na
equipe de pentest (abreviaccedilatildeo de ldquopenetration testrdquo
ou ldquoteste de invasatildeordquo) da consultoria inglesa onde
trabalhava fiquei impressionado com a altiacutessima
demanda por serviccedilos de testes de intrusatildeo naquele
paiacutes Natildeo somente estava trabalhando em uma
equipe com um nuacutemero consideraacutevel de consultores
especializados em testes de invasatildeo como tambeacutem
havia uma demanda alta e constante para este tipo
de serviccedilo por parte de organizaccedilotildees de diversos
segmentos do setor puacuteblico e privado Surpreendeushy
me positivamente tambeacutem o fato de que ateacute
mesmo algumas empresas de meacutedio e pequeno
porte se preocupavam em realizar este tipo de
serviccedilo para avaliar por exemplo a seguranccedila de
alguma nova aplicaccedilatildeo web que estava sendo
disponibi l izada na Internet
Ao fazer estas observaccedilotildees contrastava com o
cenaacuterio do mercado de seguranccedila da informaccedilatildeo no
Brasil onde jaacute havia feito diversos testes de invasatildeo
para organizaccedilotildees nacionais e multinacionais poreacutem
notava que com raras exceccedilotildees apenas empresas
de grande porte de alguns segmentos com maior
maturidade em SI solicitavam este tipo de serviccedilo
com regularidade Natildeo era incomum descobrir ao
realizar outros tipos de serviccedilo de consultoria em SI
que algumas organizaccedilotildees de grande e meacutedio porte
no Brasil natildeo davam importacircncia para este tipo de
avaliaccedilatildeo A falta de preocupaccedilatildeo ou
desconhecimento de algumas empresas e
segmentos de negoacutecio neste campo me surpreende
ateacute hoje Para citar exemplos no Reino Unido era
frequente realizar testes de intrusatildeo para
universidades escritoacuterios de advocacia e empresas
de sauacutede Por que haacute diferenccedila entre o mercado de
SI no Brasil e no Reino Unido
A Necessidade de Aderecircncia a Leis e Normas
Certamente um dos principais motivos para esta
diferenccedila significativa de investimento das
organizaccedilotildees do Reino Unido e de outros paiacuteses
com maturidade semelhante em SI eacute a existecircncia
haacute mais de 10 anos de leis e normas especiacuteficas
que podem acarretar em severas puniccedilotildees para
organizaccedilotildees de diversos segmentos e de diferentes
portes que natildeo manteacutem bons padrotildees de seguranccedila
da informaccedilatildeo ou que sofram violaccedilotildees de
Janeiro 2012 bull segurancadigital info
POR Bruno Cesar M de Souza
Site wwwablesecuritycombr
Eshymail brunosouzaablesecuritycombr
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
seguranccedila permitindo roubo ou divulgaccedilatildeo de dados
sensiacuteveis como dados pessoais No Reino Unido
existe o UK Data Protection Act 1998 que
estabelece regras para o processamento de
informaccedilotildees pessoais sendo aplicaacutevel tanto a
registros em papel como a registros em
computadores incluindo ateacute mesmo fotos e viacutedeos
Estas regras incluem a obrigaccedilatildeo de garantir a
seguranccedila dos dados pessoais armazenados e
comunicar agraves autoridades e pessoas envolvidas
sobre qualquer ocorrecircncia de violaccedilatildeo
Deveshyse ressaltar contudo que desde 2010
diversas empresas brasileiras as quais realizam
transaccedilotildees envolvendo dados de cartatildeo de creacutedito
ou deacutebito precisam aderir ao PCI DSS (Payment
Card Industry ndash Data Security Standard) O
requisito 113 do PCI DSS versatildeo 20 estabelece o
seguinte ldquorealizar testes de penetraccedilatildeo externos e
internos pelo menos uma vez por ano e apoacutes
qualquer upgrade ou modificaccedilatildeo significativa na
infraestrutura ou nos aplicativosrdquo E acrescenta que
dois tipos de teste de intrusatildeo devem ser realizados
ldquotestes de penetraccedilatildeo na camada da rederdquo e ldquotestes
de penetraccedilatildeo na camada do aplicativordquo
A lei SarbanesshyOxley sancionada nos Estados
Unidos em 2002 eacute uma reaccedilatildeo aos escacircndalos de
fraudes contaacutebeis que assolaram grandes empresas
americanas na deacutecada de 90 Empresas brasileiras
registradas na SEC (Securities and Exchange
Commission) e que atuam na bolsa de Nova Iorque
precisam estar em conformidade com a Sarbanesshy
Oxley ou SOX como eacute conhecida As seccedilotildees 302 e
404 da SOX estabelecem a necessidade de avaliar a
eficaacutecia dos controles internos e emitir um relatoacuterio
para a SEC anualmente Esta avaliaccedilatildeo precisa ser
revisada e julgada por uma empresa de auditoria
externa Embora a SOX natildeo trate de forma
especiacutefica seguranccedila da informaccedilatildeo o fato eacute que os
sistemas de relatoacuterio financeiro satildeo altamente
dependentes da tecnologia da informaccedilatildeo e assim
qualquer auditoria de controles internos deve
tambeacutem tratar aspectos de seguranccedila da
informaccedilatildeo O ITGI (Information Technology
Governance Institute) criou um conjunto de
objetivos de controle para a SOX baseado nos
padrotildees COSO e COBIT Um dos objetivos de
controle trata de ldquoSeguranccedila de Redesrdquo Segundo o
SANS Institute para aderir aos controles
necessaacuterios de seguranccedila pode ser apropriado
tambeacutem realizar testes independentes de seguranccedila
de redes ldquoisto pode incluir Ethical Hacking ou teste
de penetraccedilatildeo por um serviccedilo de terceirordquo (SANS
Institute shy An Overview of SarbanesshyOxley for the
Information Security Professional)
Os famosos padrotildees para gestatildeo de seguranccedila da
informaccedilatildeo ISOIEC 27001 e 27002 satildeo coacutedigos de
boas praacuteticas de seguranccedila da informaccedilatildeo A
ISOIEC 27001 estabelece o controle A1522
ldquoverificaccedilatildeo da conformidade teacutecnicardquo que diz ldquoOs
sistemas de informaccedilatildeo devem ser periodicamente
verificados quanto agrave sua conformidade com as
normas de seguranccedila da informaccedilatildeo
implementadasrdquo E a ISOIEC 27002 recomenda ldquoa
verificaccedilatildeo de conformidade tambeacutem engloba por
exemplo testes de invasatildeo e avaliaccedilotildees de
vulnerabilidades que podem ser executados por
especialistas independentes contratados
especificamente para este fim Isto pode ser uacutetil na
detecccedilatildeo de vulnerabilidades do sistema e na
verificaccedilatildeo do quanto os controles satildeo eficientes na
prevenccedilatildeo de acessos natildeo autorizados devido a
estas vulnerabilidadesrdquo Vale ressaltar que as
organizaccedilotildees no Brasil em geral natildeo possuem
obrigaccedilatildeo de conformidade com estes padrotildees natildeo
obstante muitas empresas que precisam evidenciar
boas praacuteticas de seguranccedila da informaccedilatildeo para os
acionistas parceiros e clientes adotam como meta a
obtenccedilatildeo e manutenccedilatildeo da certificaccedilatildeo ISOIEC
27001 E sem duacutevida empresas que querem levar
a seacuterio seguranccedila da informaccedilatildeo deveriam adotar
estes padrotildees
Apesar de algumas empresas brasileiras estarem
sujeitas a normas como o PCI DSS e a Sarbanesshy
Oxley muitos segmentos de negoacutecio incluindo
empresas nacionais de meacutedio porte e ateacute mesmo de
grande porte bem como oacutergatildeos do governo natildeo
estatildeo ainda sob a pressatildeo de leis ou normas que
por si soacute obriguem a organizaccedilatildeo a manter um niacutevel
de maturidade miacutenimo em seguranccedila da informaccedilatildeo
Vimos ateacute aqui que uma das razotildees para as
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital37
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
organizaccedilotildees levarem a seacuterio a realizaccedilatildeo de
avaliaccedilotildees de seguranccedila incluindo a abordagem de
testes de invasatildeo eacute a aderecircncia a normas e padrotildees
como o PCIshyDSS SarbanesshyOxley e ISOIEC 27001
E o que dizer das organizaccedilotildees no Brasil a princiacutepio
natildeo obrigadas a demonstrar aderecircncia a estas e
outras normas semelhantes Vejamos porque isto
natildeo eacute uma desculpa para estas organizaccedilotildees serem
negligentes com a realizaccedilatildeo de testes de
seguranccedila
Negligecircncia na Realizaccedilatildeo de Testes de
Seguranccedila pode Custar Caro
Os recentes incidentes de invasatildeo amplamente
noticiados na miacutedia com a rede de videogame e
outros serviccedilos online de um famoso grupo de
entretenimento e tecnologia demonstram o impacto
ao negoacutecio que a negligecircncia com seguranccedila de TI
pode causar Em 19 de Abril de 2011 esta empresa
descobriu que a sua rede de videogame havia sido
invadida resultando na decisatildeo de desligar esta
rede no dia 20 de Abril Dois dias depois a empresa
confirmou que os servidores da rede de jogos online
foram comprometidos e em 26 de Abril a empresa
confirmou publicamente o roubo de informaccedilotildees
pessoais de clientes A rede uti l izada para jogar e
comprar jogos online ficou indisponiacutevel para os
usuaacuterios do seu famoso videogame por
aproximadamente 23 dias Informaccedilotildees pessoais de
77 milhotildees de contas foram roubadas incluindo
nomes de usuaacuterio senhas respostas a perguntas
secretas endereccedilos datas de aniversaacuterio
endereccedilos de email e possivelmente dados de
cartatildeo de creacutedito Em 05 de Maio o site de
entretenimento online deste mesmo grupo tambeacutem
foi invadido permitindo o roubo de informaccedilotildees
pessoais de 246 milhotildees de clientes incluindo datas
de aniversaacuterio endereccedilos de email nuacutemeros de
telefone aproximadamente 12700 dados de cartatildeo
de creacutedito e deacutebito bem como aproximadamente
10700 dados de conta bancaacuteria para deacutebito
automaacutetico Em dias posteriores noticioushyse que
alguns sites do grupo ao redor do mundo foram
invadidos permitindo a desfiguraccedilatildeo do web site
eou roubo de mais informaccedilotildees Aleacutem do evidente
dano de imagem para um grupo detentor de uma
famosa marca ainda em Maio de 2011 a proacutepria
empresa estimou uma perda financeira em
aproximadamente 171 milhotildees de doacutelares
diretamente relacionada aos incidentes de invasotildees
Para completar foram abertos em 2011 alguns
processos judiciais alegando que a empresa foi
negligente na proteccedilatildeo de seus sistemas e dados
sensiacuteveis de clientes
A seguinte pergunta surge esta empresa natildeo era
aderente ao PCI DSS Natildeo haacute informaccedilatildeo puacuteblica
clara sobre a aderecircncia desta empresa ao PCI DSS
quando ocorreu a brecha Aliaacutes suspeitashyse que a
empresa mesmo devendo estar natildeo estava
aderente em virtude das falhas que possivelmente
foram exploradas como ldquoSQL Injectionrdquo e software
de rede desatualizado (nota haacute uma acusaccedilatildeo de
que a rede de videogame uti l izava o software de
servidor web ldquoApacherdquo em uma versatildeo
desatualizada com falhas de seguranccedila
conhecidas) ndash vulnerabil idades que claramente
violam requisitos do PCI DSS De qualquer forma
podeshyse questionar caso tenha sido realizado
foram uti l izados profissionais qualificados para fazer
um legiacutetimo teste de intrusatildeo de forma regular E
talvez a pergunta mais importante seja as
vulnerabil idades identificadas no uacuteltimo teste de
intrusatildeo foram corrigidas antes do incidente O fato
eacute que se esta organizaccedilatildeo jaacute tivesse um processo
de realizaccedilatildeo de testes de invasatildeo regulares nos
sistemas envolvidos realizados por profissionais
qualificados acompanhado de um processo
eficiente de correccedilatildeo das vulnerabil idades
identificadas provavelmente estes incidentes teriam
sido evitados
Embora incidentes como este sejam agraves vezes
divulgados pela miacutedia tenha certeza muitos
incidentes seacuterios de invasatildeo nunca seratildeo
divulgados mesmo havendo seacuterios prejuiacutezos
financeiros especialmente em paiacuteses sem
legislaccedilatildeo especiacutefica como o Brasil E algumas
organizaccedilotildees contam apenas com a sorte para natildeo
terem tido ainda alguma problema grave Se a sua
empresa oferece serviccedilos na Internet para clientes
parceiros ou colaboradores refl ita sobre as
seguintes questotildees
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital38
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital39
Qual poderia ser o impacto financeiro se este
site ficasse indisponiacutevel por vaacuterias horas ou ateacute
mesmo dias Os meus clientes poderiam trocar o
meu site pelo site de um concorrente
Qual poderia ser o impacto na confianccedila dos
meus atuais e potenciais cl ientes em realizar
transaccedilotildees financeiras ou inserir dados pessoais
no site da minha organizaccedilatildeo
A organizaccedilatildeo poderia sofrer processos
judiciais em decorrecircncia de vazamentos de
informaccedilotildees sensiacuteveis de clientes parceiros ou
colaboradores
Quais seriam os potenciais danos com uma
notiacutecia falsa no site da minha organizaccedilatildeo
Um ataque bem sucedido poderia resultar em
perda de credibi l idade com investidores
patrocinadores e acionistas
Estes satildeo apenas alguns exemplos de perguntas
que podem ser feitas em uma anaacutelise de impacto
Haacute tambeacutem outras seacuterias ameaccedilas que muitas
organizaccedilotildees ignoram quando se trata de ataques
ciberneacuteticos externos ou internos
Um ataque direcionado de sabotagem pode
fazer com que sistemas internos criacuteticos para a
organizaccedilatildeo fiquem indisponiacuteveis por um tempo
maior do que aceitaacutevel
Informaccedilotildees estrateacutegicas para o negoacutecio
podem ser roubadas de servidores ou estaccedilotildees
do ambiente interno
Fraudes podem ser realizadas atraveacutes de
acessos natildeo autorizados a sistemas
Serviccedilos de correio eletrocircnico (email) de
videoconferecircncia de mensagem instantacircnea e
outros podem ser violados para realizaccedilatildeo de
espionagem e outras accedilotildees maliciosas
Ateacute mesmo a seguranccedila fiacutesica pode ser
atacada atraveacutes de intrusotildees em sistemas de
CFTV com tecnologia IP e de controle de acesso
fiacutesico
Computadores moacuteveis como laptops e
smartphones podem ser invadidos e controlados
remotamente para roubo de informaccedilotildees
sensiacuteveis e realizaccedilatildeo de espionagem Por
exemplo imagine a possibi l idade real de um
atacante ligar a cacircmera e microfone de um laptop
para realizaccedilatildeo de espionagem
Com minha experiecircncia posso afirmar que natildeo satildeo
poucos os gestores de seguranccedila e de TI que
acreditam que suas informaccedilotildees mais valiosas
armazenadas em servidores internos e seus
sistemas internos mais criacuteticos natildeo podem ser
acessados por atacantes externos jaacute que estes
sistemas estariam atraacutes de firewalls e outros
mecanismos de proteccedilatildeo Vejamos se este
raciociacutenio eacute bem fundamentado
A Utilizaccedilatildeo de Produtos de Seguranccedila Natildeo eacute
Suficiente
A fabricante de produtos de seguranccedila Mcafee
alertou em Agosto de 2011 sobre a descoberta de
um ataque sofisticado que teria comprometido 72
organizaccedilotildees desde 2006 incluindo a ONU
(Organizaccedilatildeo das Naccedilotildees Unidas) e o Comitecirc
Oliacutempico Internacional (COI) permitindo roubo de
informaccedilotildees Em 2010 a operaccedilatildeo conhecida como
ldquoAurorardquo que suspeitashyse ter sido realizada por uma
organizaccedilatildeo da China comprometeu o Google e
outras empresas de tecnologia O interessante eacute
que estes ataques tiveram caracteriacutesticas em
comum foram ataques sofisticados direcionados
passaram muito tempo sem serem detectados e
permitiram acessos natildeo autorizados agrave rede interna
da organizaccedilatildeo Estes ataques direcionados
receberam a denominaccedilatildeo de ldquoAmeaccedilas Avanccediladas
Persistentesrdquo ou ldquoAPT ndash Advanced Persistent
Threatsrdquo Estes ataques satildeo uma prova
incontestaacutevel de que os produtos de seguranccedila
adotados pelas grandes corporaccedilotildees natildeo satildeo
suficientes para impedir ataques sofisticados
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
bull
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Eacute importante esclarecer que sou totalmente a favor
do uso das ferramentas de seguranccedila pois estas
ajudam consideravelmente na reduccedilatildeo dos riscos
No entanto eacute um grave erro sustentar toda a
seguranccedila da informaccedilatildeo de uma organizaccedilatildeo no
uso de produtos Um firewall por exemplo tem
como funccedilatildeo baacutesica liberar e bloquear o acesso a
portas e serviccedilos de rede Um atacante pode
justamente explorar vulnerabil idades nos protocolos
e serviccedilos de redes autorizados natildeo bloqueados
pelo firewall Como um firewall tradicional seria
capaz de bloquear um ataque em uma aplicaccedilatildeo
web da sua organizaccedilatildeo disponiacutevel pela Internet na
porta 80tcp que estaacute liberada pelo firewall
A tecnologia de IPS pode ser uma forte barreira
contra atacantes especialmente para os chamados
ldquoscript kiddiesrdquo que satildeo atacantes com
conhecimento teacutecnico superficial e que dependem
totalmente de ferramentas e ldquoreceitas de bolordquo
disponiacuteveis na Internet Contudo pesquisadores de
seguranccedila e profissionais experientes em testes de
intrusatildeo sabem que as assinaturas de IDS IPS
podem muitas vezes ser contornadas (veja alguns
exemplos de teacutecnicas para burlar soluccedilotildees de IDS e
IPS na seguinte apresentaccedilatildeo realizada na
conferecircncia de seguranccedila da informaccedilatildeo Black Hat
Las Vegas 2006 IPS Shortcomings shy
http wwwblackhatcompresentationsbhshyusashy
06BHshyUSshy06shyBidoupdf) Assim como as soluccedilotildees
de IPS existem teacutecnicas para burlar a detecccedilatildeo de
ataques por parte de WAF (Web Application
Firewalls) que satildeo ferramentas dedicadas a detectar
e bloquear ataques em aplicaccedilotildees web Por
exemplo um atacante pode uti l izar caracteres
especiais e codificaccedilotildees de caracteres (como
Unicode) para criar variaccedilotildees em um ataque de SQL
Injection ao ponto de natildeo ser detectado por uma
ferramenta de WAF
Anaacutelise de Vulnerabilidades Versus Teste de
Intrusatildeo
Existe uma diferenccedila entre os termos ldquoanaacutelise de
vulnerabil idadesrdquo e ldquoteste de intrusatildeordquo Um teste de
intrusatildeo inclui a atividade de anaacutelise de
vulnerabil idades mas vai aleacutem O teste de intrusatildeo eacute
uma simulaccedilatildeo do cenaacuterio em que um atacante real
tenta comprometer a seguranccedila da informaccedilatildeo de
uma organizaccedilatildeo seja atraveacutes da Internet de uma
aplicaccedilatildeo web especiacutefica da rede interna da
organizaccedilatildeo de uso de teacutecnicas de enganaccedilatildeo
(engenharia social) e ateacute mesmo explorando falhas
de controles de acesso fiacutesico O teste de intrusatildeo
procura natildeo apenas detectar vulnerabil idades de
seguranccedila mas tambeacutem comprovar a possibi l idade
de exploraccedilatildeo das falhas detectadas
Deveshyse ter alguns cuidados ao se contratar um
serviccedilo de teste de intrusatildeo Primeiro eacute importante
fazer um contrato de natildeo divulgaccedilatildeo das
informaccedilotildees obtidas durante o teste (NDA ndash Non
Disclosure Agreement) e de delimitaccedilatildeo do escopo
do teste (por exemplo a organizaccedilatildeo pode proibir
testes de negaccedilatildeo de serviccedilo) Outra preocupaccedilatildeo eacute
contratar uma empresa que realmente realize testes
de intrusatildeo qualificados e natildeo apenas uti l ize uma
ferramenta para automatizar varreduras de
vulnerabil idades (acredite existem algumas
empresas que fazem isto e chamam o serviccedilo de
ldquoteste de invasatildeordquo) Um legiacutetimo teste de intrusatildeo
deve ser realizado por um profissional com
qualificaccedilotildees teacutecnicas que uti l ize metodologias
apropriadas criatividade e seja capaz de
desenvolver teacutecnicas e ferramentas especiacuteficas para
atacar os sistemas e aplicaccedilotildees que fazem parte do
escopo
Enumero as principais vantagens de se realizar um
teste de intrusatildeo e natildeo apenas uma anaacutelise de
vulnerabil idades Um teste de intrusatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital40
Favorece a detecccedilatildeo de vulnerabil idades mais
sutis como falhas de loacutegica de uma aplicaccedilatildeo
falhas nas regras de negoacutecio falhas natildeo
convencionais ou triviais de aplicaccedilatildeo
possibi l idades de contornar ferramentas de
proteccedilatildeo problemas de arquitetura de seguranccedila
e falhas de conscientizaccedilatildeo de seguranccedila (fator
humano) que geralmente natildeo satildeo detectadas
em uma abordagem tradicional de anaacutelise de
vulnerabil idades (a famosa abordagem ldquocheckshy
l istrdquo)
Permite testar a efetividade das soluccedilotildees
tecnoloacutegicas de seguranccedila implementadas
bull
bull
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Aumente a Maturidade em SI da Sua Organizaccedilatildeo
Ao considerar que a abordagem de testes de intrusatildeo pode ajudar sua organizaccedilatildeo a conseguir e manter
aderecircncia a normas e padrotildees de seguranccedila melhorar a credibi l idade perante investidores parceiros e
clientes bem como evitar graves prejuiacutezos financeiros problemas judiciais e seacuterios danos de imagem natildeo
eacute difiacuteci l concluir que vale a pena investir na realizaccedilatildeo de testes de intrusatildeo para ajudar a sua organizaccedilatildeo a
elevar o niacutevel de maturidade em seguranccedila da informaccedilatildeo
Janeiro 2012 bull segurancadigital info
ARTIGO Seguranccedila Digital41
inclusive a configuraccedilatildeo dos firewalls ferramentas de IPS programas de antiviacuterus e soluccedilotildees de
controle de acesso
Permite identificar com maior exatidatildeo a facil idade probabil idade e impacto de exploraccedilatildeo de
vulnerabil idades no ambiente fornecendo informaccedilotildees mais precisas para anaacutelise de risco
Pode dependendo dos resultados e das evidecircncias de intrusatildeo obtidas durante o teste facil itar a
conscientizaccedilatildeo da alta direccedilatildeo de gerentes analistas de TI desenvolvedores e demais colaboradores
inclusive levando a um maior investimento em projetos de seguranccedila
bull
bull
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
42 LIVRO EM DESTAQUE
Clicando com SeguranccedilaPor Edison Fontes
Este livro apresenta assuntos do dia a dia da seguranccedila da informaccedilatildeo em relaccedilatildeo agraves pessoas e em relaccedilatildeo agraves
organizaccedilotildees Ele foi escrito para o usuaacuterio e tambeacutem para o profissional l igado ao tema seguranccedila da
informaccedilatildeo Para os professores cada texto pode ser um assunto a ser debatido em sala de aula No final do
livro satildeo identificados os requisitos de seguranccedila da informaccedilatildeo da Norma NBR ISOIEC 27002 que sustentam
ou motivam cada texto possibi l itando assim a ligaccedilatildeo da praacutetica com a teoria A leitura tambeacutem pode ser feita
sem se preocupar com a teoria na sequecircncia desejada e diretamente para algum tema especiacutefico Lembreshyse
de que seguranccedila da informaccedilatildeo tambeacutem vale para a sua famiacutelia foram incluiacutedas neste livro 50 dicas de
seguranccedila para o uso da Internet e seus serviccedilos gratuitos ou pagos
Janeiro 2012 bull segurancadigital info
Sobre autor
Edison Fontes
CISM CISA Bacharel em Informaacutetica pela UFPE
Mestrando em Tecnologia pelo Centro Paula SouzashySP
Especialista pelo Mestrado de Ciecircncia da Computaccedilatildeo da
UFPE Poacutesshygraduado em Gestatildeo Empresarial pela FIAshy
USP Foi Coordenador de Seguranccedila da Informaccedilatildeo do
Banco Banorte Consultor Independente Gerente do
Produto Business Continuity Plan da
PriceWaterhouseCoopers Security Officer da GTECH
Brasil e Gerente Secircnior da CPM Braxis Atualmente eacute
Soacutecioshyconsultor da Nuacutecleo Consultoria em Seguranccedila
Professor de MBAs da FIAPshySatildeo Paulo e Professor
convidado da FIAshySatildeo Paulo
Links
http brasportwordpresscom20110928cl icandoshycomshyseguranca
http wwwbrasportcombrinformaticashyeshytecnologiasegurancashybrshy2shy3shy4shy5cl icandoshycomshysegurancahtml
http informationweek itwebcombrblogedisonshyfontes
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
NOTIacuteCIAS shy As 5 maiores invasotildees de 2011
Site do BackTrack hackeado
Eacute em 2011 nem
mesmo o site da
distribuiccedilatildeo
BackTrack escapou
aos olhos dos
criminosos virtuais
O fato do BackTrack
ser uma das distribuiccedilotildees focadas em seguranccedila
mais famosa do mundo natildeo foi o suficiente para
intimidar esses criminosos que conseguiram
hacker o site oficial deste gigante Linux
gtgt Saiba mais em http migreme7pfc9
KernelOrg hackeado
No dia 12 de Agosto ocorreu uma
invasatildeo no kernelorg repositoacuterio
primaacuterio para o coacutedigoshyfonte do
Linux O ataque soacute foi descoberto
dia 28 Ateacute laacute os invasores jaacute
tinham
Logo apoacutes a detecccedilatildeo da invasatildeo medidas foram
tomadas o proacuteprio Google foi solicitado a tirar do ar
os repositoacuterios do Android pois natildeo se sabia a
extensatildeo da invasatildeo
gtgt Saiba mais em http migreme7pfdV
MySQL hackeado usando proacutepia tecnologia
O que os hackers fizeram eacute
conhecido como uma SQL
injection (ou injeccedilatildeo SQL em
bom portuguecircs) Eles enviam
para o site em um
determinado formulaacuterio um comando que se natildeo for
interpretado pelo site pode fornecer dados que
antes eram sigi losos E foi o que aconteceu no caso
das bases de dados do MySQLcom ironicamente o
site dos criadores da base de dados de coacutedigo
aberto SQL
gtgt Saiba mais em http migreme7pfjg
Site do IBGE eacute invadido por hackers
O site do Instituto Brasileiro
de Geografia e Estatiacutestica
(IBGE) foi invadido por
hackers na madrugada desta
sextashyfeira (2406) No topo
da paacutegina na internet estaacute
escrito IBGE Hackeado ndash Fail Shell e uma
imagem com um olho representando a bandeira do
Brasil vem logo abaixo
gtgt Saiba mais em http migreme7pfzP
Sony admite invasatildeo de site canadense
A Sony confirmou terccedilashyfeira
(245) que algueacutem invadiu um
site de sua propriedade no
Canadaacute e roubou cerca de 2
mil nomes e endereccedilos de eshy
mail de clientes Cerca de mil registros jaacute foram
publicados online por um hacker que se autointitulou
Idahc um hacker l ibanecircs grayshyhat
gtgt Saiba mais em http migreme7pfCw
Janeiro 2012 bull segurancadigital info
Quer contribuir com esta seccedilatildeo
Envie sua notiacutecia para nossa equipe
contatosegurancadigitalinfo
43
bull Ganhado acesso root ao servidor HERA
bull Modificado o coacutedigoshyfonte de arquivos
relacionados com ssh em seguida recompilados
e disponibi l izados
bull Instalado um cavalo de troacuteia nos scripts de
inicial izaccedilatildeo
bull Monitorado e Capturado interaccedilotildees dos
usuaacuterios
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
COLUNA DO LEITOR
Esta seccedilatildeo foi criada para que possamos
comparti lhar com vocecirc leitor o que andam falando
da gente por aiacute Contribua para com este projeto
(contatosegurancadigital info)
Wellington ZenjiParabens pela iniciativa do projeto da Revista
Seguranca Digital
Recomendo a todos
Espero que continuem
Sucesso
JanilsonMuito bom mesmo Uma revista de qualidade
excelente a custo zero para quem a adquire
Parabeacutens pelo trabalho
Cieldo SilvaMuito legal a revista parabeacutens
queria saber como adquirir as ediccedilotildees passadas
Boas Festas
vlw
Rubem CerqueiraA equipe seguranccedila digital esta de parabeacutens pelo
excelente trabalho Todo mecircs fico na expectativa de
ler a revista que tem um oacutetimo conteuacutedo
Osmar FreitasMuito obrigado pela Revista
Muito bom trabalho
EduardoParabeacutens excelente conteuacutedo
HerculesOtimo Trabalho parabeacutens espero logo logo
contribuir
Maacutercia LimaOlaacute
parabeacutens pela empreitada
Apoacutes ler com cuidado a revista farei outra postagem
Grade abraccedilo
ElexsandroParabeacutens pela iniciativa e pelo excelente trabalho
espero e torccedilo que decirc tudo certo para que
continuemos tendo o privi legio de ter de forma clara
l impa e objetiva todo esse mundo de informaccedilatildeo
sobre Seguranccedila Digital
elexsandroNa expectativa para o sorteio do Curso Seguranccedila
em Servidores Linux ofertado pela 4LinuxBR em
parceria com _SegDigital 2DSD
elexsandroParabeacutens ao laerciomasala vencedor do 1ordm e 2ordm
Desafio Seguranccedila Digital promovido pela equipe do
_SegDigital
rodrigojorgeProjeto Seguranccedila Digital recruta voluntaacuterios
http bit lyzlKwo5 _SegDigital (via owasppb)
EMAILSSUGESTOtildeES ECOMENTAacuteRIOS
Janeiro 2012 bull segurancadigital info
44
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
45
Revista Seguranccedila Digital adere ao SOPABlackoutBR
Em adesatildeo ao movimento SOPABlackoutBR o site do Projeto Seguranccedila Digital
esteve fora do ar no dia 1 801 das 08h agraves 20h Diversos ativistas participaram
do protesto contra o projeto de lei estadunidense o SOPA que ameaccedila a
liberdade na internet sob o pretexto de combate agrave pirataria
httpsegurancadigital infonoticias57-noticias-referentes-a-segurancadigital465-
revista-seguranca-digital-adere-ao-sopablackoutbr
Saiba mais em
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
PARCERIASeguranccedila Digital46
Janeiro 2012 bull segurancadigital info
PARCEIROS
Venha fazer parte dos nossosparceiros que apoiam econtribuem com o ProjetoSeguranccedila Digital
http wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
A empresa Kryptus especializada em Soluccedilotildees
de Seguranccedila da Informaccedilatildeo se encontra na
etapa de fabricaccedilatildeo do primeiro Criptoshy
Processador Seguro (CPS) de uso geral
elaborado com tecnologia nacional voltado para
aplicaccedilotildees criacuteticas onde a seguranccedila contra
ataques fiacutesicos e loacutegicos aleacutem de
confidencialidade e proteccedilatildeo de propriedade
intelectual satildeo estrateacutegicos
Aleacutem das proteccedilotildees contra ataques e coacutepias
indevidas (todo o sistema operacional BIOS e
software satildeo cifrados e assinados digitalmente
aleacutem de implementar um ldquoFirewall em
Hardwarerdquo) o CPS possui forte e inovador
mecanismo antishymalware e antishyrootkit Por
possuir distintos nuacutecleos de execuccedilatildeo
concorrentes as funccedilotildees de criptografia e
auditoria satildeo isoladas O CPS permite com que o
ldquokernelrdquo do sistema operacional seja
constantemente checado para detectar
modificaccedilotildees por algum software malicioso Em
caso de ataque o CPS consegue restaurar a
imagem do kernel em tempo real garantindo
assim a integridade do sistema
Aleacutem do processador criptograacutefico de alto
desempenho construiacutedo com base na arquitetura
RISC Sparc V8 a Kryptus indiretamente capacita
seu corpo de mais de 20 engenheiros para
desenvolver soluccedilotildees diversas como
microcontroladores seguros smartshycards tokens
IP Cores VHDL e bibl iotecas criptograacuteficas
APLICACcedilOtildeESAtualmente sabeshyse que a seguranccedila de um
sistema em uacuteltima instacircncia recai sobre a
seguranccedila provida pelos seus processadores
Todavia os processadores criptograacuteficos
capazes de prover esta seguranccedila satildeo em sua
totalidade projetados e fabricados no exterior
Aleacutem de natildeo possuiacuterem design auditaacutevel a
importaccedilatildeo destes dispositivos tambeacutem requer a
autorizaccedilatildeo dos Estados exportadores afetando
assim a soberania nacional
Neste sentido este projeto cria um
Criptoprocessador Seguro (CPS) que eacute o
primeiro processador de uso geral disponiacutevel
comercialmente em niacutevel mundial a fornecer
bases soacutelidas de seguranccedila contra ataques
loacutegicos e fiacutesicos e com coacutedigo auditaacutevel O CPS
poderaacute ser uti l izado como bloco fundamental em
uma gama de aplicaccedilotildees nas quais a
confidencialidade autenticidade flexibi l idade e
custos reduzidos sejam fatores criacuteticos de
sucesso Aleacutem de substituir importaccedilotildees o
processador e sua licenccedila poderatildeo ser facilmente
PARCERIA KRYPTUS E Seguranccedila Digital47
Janeiro 2012 bull segurancadigital info
Kryptus desenvolve primeiro Criptoshy
Processador Seguro 100 nacional
Com lanccedilamento previsto para o segundo
semestre de 2012 e iniciativa singular no
hemisfeacuterio Sul o CPS eacute um projeto financiado
pela FINEP (wwwfinepgovbr) e estaacute sendo
construiacutedo com base na linguagem de
descriccedilatildeo de hardware VHDL
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
exportados Ainda toda a tecnologia seraacute
dominada por organizaccedilotildees nacionais abrindoshyse
pela primeira vez a possibi l idade de algoritmos
proprietaacuterios de criptografia do Estado Brasileiro
serem implementados em um processador
seguro em tecnologia ASIC
Nesse contexto o CPS poderaacute ser aplicado
tambeacutem para
PARCERIA KRYPTUS E Seguranccedila Digital48
Janeiro 2012 bull segurancadigital info
Aleacutem da reduccedilatildeo de custos o CPS traraacute outros
benefiacutecios estrateacutegicos ao permitir que a
empresa
Tecnologia Empregada
FuturoO desenvolvimento do CPS eacute um grande passo
para o desenvolvimento de tecnologia
criptograacutefica nacional aleacutem de promover a
capacitaccedilatildeo de engenheiros numa aacuterea pouco
difundida e em contrapartida essencial para a
soberania e seguranccedila nacionais
Depois de terminada a validaccedilatildeo do ldquoBackshyEndrdquo
a fase 2 do projeto engloba a criaccedilatildeo de
microcontroladores para funccedilotildees especiacuteficas
bull Raacutedios criptograacuteficos para tropas
terrestres
bull Proteccedilatildeo de equipamentos de
comunicaccedilotildees digitais de naves da Defesa
bull Dispositivos para comunicaccedilotildees
diplomaacuteticas telefonia VoIP e PSTN
(telefonia comutada convencional) segura
entre outros
bull Aplicaccedilotildees onde a propriedade intelectual
deve ser preservada jaacute que as memoacuterias de
programa e de dados satildeo cifradas
bull Computadores do tipo ldquoPCrdquo e servidores
seguros resistentes a ataques de malwares e
ataques fiacutesicos
bull Oferecer uma soluccedilatildeo adequada para
desenvolvimento de Urnas Eletrocircnicas seguras
bull Facil itar a implementaccedilatildeo dos mecanismos
de seguranccedila e controle de conteuacutedo (DRM) do
padratildeo de SBTVD (Sistema Brasileiro de TV
Digital)
bull Atendimento da demanda do aparato de
Defesa Nacional e Intel igecircncia Nacional por
tecnologia soberana de seguranccedila de
comunicaccedilotildees e dados equiparando o paiacutes
aos demais componentes do BRIC Nesse
contexto aplicaccedilotildees possiacuteveis satildeo
bull Processador de 32 bits RISC Sparc V8 com
MMU controlador de memoacuteria controlador
PCI ALU (div mult) FPU
bull JTAG UART controlador USB EEPROM
interna RBG interno em hardware cache on
die com cifraccedilatildeo e autenticaccedilatildeo de
barramentos de dados e coacutedigo em tempo real
uti l izando como base o algoritmo criptograacutefico
AES ou algoritmos criptograacuteficos proprietaacuterios
do Estado Brasileiro
bull O dispositivo seraacute fabricado em processo
semicondutor alvo de 130nm podendo operar
ateacute a frequecircncia estimada de 300MHz
bull Desenvolva uma nova geraccedilatildeo de produtos
proacuteprios tais como um HSM formato placa
PCIshyexpress que somente satildeo viabil izados por
um CPS
bull Possa fornecer equipamentos com hardware
e software 100 auditaacuteveis gerando um
grande diferencial de mercado para aplicaccedilotildees
de interesse do Estado
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
PARCERIA KRYPTUS E Seguranccedila Digital49
Janeiro 2012 bull segurancadigital info
Diagrama (CPS)
(exemplos mediccedilatildeo de energia taxiacutemetros
controladores de VANTs HSMs ) assim como
um processador aeroespacial e o primeiro
processor smartshycard 100 nacional
Sobre a KryptusEmpresa 100 brasileira fundada em 2003 na
cidade de CampinasSP a Kryptus jaacute
desenvolveu uma gama de soluccedilotildees de
hardware firmware e software para clientes
Estatais e Privados variados incluindo desde
semicondutores ateacute aplicaccedilotildees criptograacuteficas de
alto desempenho se estabelecendo como a liacuteder
brasileira em pesquisa desenvolvimento e
fabricaccedilatildeo de hardware seguro para aplicaccedilotildees
criacuteticas
A Kryptus eacute a pioneira ao desenvolver e introduzir
o primeiro processador acelerador AES do
mercado brasileiro
Os clientes Kryptus procuram soluccedilotildees para
problemas onde um alto niacutevel de seguranccedila e o
domiacutenio tecnoloacutegico satildeo fatores fundamentais
No acircmbito governamental soluccedilotildees Kryptus
protegem sistemas dados e comunicaccedilotildees tatildeo
criacuteticas como a Infraestrutura de Chaves Puacuteblicas
Brasileira (ICPshyBrasil) a Urna Eletrocircnica
Brasileira e Comunicaccedilotildees Governamentais
Mais informaccedilotildees em http wwwkryptuscom
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
A forense computacional eacute a identificaccedilatildeo
preservaccedilatildeo coleta interpretaccedilatildeo e
documentaccedilatildeo de evidecircncias digitais Este curso
cobre todas as etapas supracitadas e prepara o
teacutecnico para uti l izar ferramentas de investigaccedilatildeo
para descoberta de evidecircncias digitais atraveacutes
de uma metodologia de forense computacional
O curso engloba tanto a forense de
computadores e equipamentos de um parque
computacional assim como dispositivos
tecnoloacutegicos uti l izados no dia a dia Eacute maior o
nuacutemero de casos judiciais e investigaccedilotildees
administrativas onde fi lmagens fotos l igaccedilotildees eshy
mails e outras formas digitais satildeo levantadas
para melhor esclarecer a questatildeo apresentada a
ser investigada
Dentro de 4 a 5 anos eacute esperado que a maioria
das questotildees judiciais envolvam a forense
computacional pois evidecircncias digitais estaratildeo
direta ou indiretamente ligadas aos casos como
hoje estatildeo na vida de todos noacutes Poreacutem como
em todas as novas teacutecnicas e descobertas o
mercado estaacute escasso de profissionais nesta
aacuterea e carente de profissionais certificados em
forense digital
Este curso tem como objetivo ensinar as novas
teacutecnicas e os procedimentos necessaacuterios para se
trabalhar com evidecircncias digitais Em acreacutescimo
o foco nas certificaccedilotildees iraacute credenciar o aluno a
trabalhar nesta aacuterea e a ser indicado como
especialista nas provas digitais Outro aspecto no
qual este curso auxil ia eacute na preparaccedilatildeo dos
alunos para realizar a prova para perito da Poliacutecia
Federal pois o conteuacutedo abordado estaacute em
consonacircncia com o conteuacutedo cobrado na prova e
na atuaccedilatildeo desse profisional na execuccedilatildeo de
seus encargos
Ao final do curso o aluno estaraacute preparado para
realizar anaacutelises forense em dispositivos moacuteveis
miacutedia digitais sistemas Linux e Windows
recuperaccedilatildeo de dados e relatoacuterios ao final de
suas investigaccedilotildees Tudo atraveacutes da uti l izaccedilatildeo de
ferramentas livres
Inclusive o aluno teraacute como exemplo de cada
tipo de anaacutelise forense estudo de casos
especiacuteficos com a devida apresentaccedilatildeo do
contexto descriccedilatildeo e no final a soluccedilatildeo dos
mesmos com os comandos e ferramentas
uti l izados Tudo completamente documentado
para posterior consulta e estudo mesmo apoacutes o
teacutermino do curso
PARCERIA 4Linux E Seguranccedila Digital50
Janeiro 2012 bull segurancadigital info
Curso Investigaccedilatildeo
Forense Digital
Saiba mais em
http www4linuxcombrcursosinvestigacaoshy
forenseshydigitalhtmlcursoshy427
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Natildeo haacute proacuteshyatividade que deixe todo e qualquer
servidor 100 livre de falhas ou pragas
indesejaacuteveis natildeo eacute mesmo Embora a nossa
equipe se esforce em manter o ambiente
atualizado todos os dias recebemos novas
solicitaccedilotildees em nosso Setor de Auditorias e
Abusos com contas que sofreram algum tipo de
invasatildeo Grande parte das invasotildees satildeo feitas
atraveacutes do uso de CMSrsquos desatualizados
principalmente o nosso querido Joomla
Como sabemos os CMSrsquos possuem uma enorme
gama de pontos positivos e por este motivo
muitos usuaacuterios acabam por uti l izaacuteshylos entretanto
isto atrai um efeito indesejaacutevel e perigoso Os
crackers Muitos deles trabalham diariamente
para explorar e encontrar vulnerabil idades nestes
sistemas e devido agrave larga escala de uti l izaccedilatildeo
dos mesmos Os ataques em sua maioria satildeo
devastadores Infel izmente muitos usuaacuterios natildeo
mantecircm suas aplicaccedilotildees atualizadas seja por
falta de conhecimento ou por uma falsa sensaccedilatildeo
de comodidade pois em muitos casos podem ser
perdidas personalizaccedilotildees durante o
procedimento de atualizaccedilatildeo
Infel izmente isto natildeo ocorre somente com o
Joomla Exemplificaremos com um novo tipo de
invasatildeo que estaacute ocorrendo nos uacuteltimos meses e
tem se tornado uma dor de cabeccedila para os
analistas de SI de todo o mundo Houve um
grande crescimento dos usuaacuterios da bibl ioteca
Timthumb (http codegooglecomptimthumb)
nos uacuteltimos tempos Ela eacute largamente uti l izada
em temas Wordpress e como natildeo poderia ser
diferente atraiu atenccedilatildeo de muitos crackers que
conseguiram causar estragos em vaacuterios
blogssites Versotildees antigas possuem falhas de
programaccedilatildeo que podem ser exploradas se o
acesso a arquivos remotos por parte da
bibl ioteca estiver ativado veja o viacutedeo no
Youtube (http encurtacom97e)
Estes satildeo apenas exemplos de desafios que
analistas de seguranccedila enfrentam todos os dias
em empresas de hosting Eacute necessaacuterio que o
usuaacuterio tenha consciecircncia de que a atualizaccedilatildeo
de sistemas se trata de uma necessidade e que
se houver apenas um plugin desatualizado todo
o site pode estar em risco e todo o trabalho de
anos pode ser perdido por falta de um simples
procedimento de atualizaccedilatildeo Infel izmente isto
natildeo eacute apenas uma estoacuteria fictiacutecia criada para
amedrontar usuaacuterios isto ocorre todos os dias
em milhares de servidores de hospedagem pelo
mundo
Aproveite as dicas da Revista Seguranca Digital
no seu diashyashydia e deixe as suas aplicaccedilotildees
ainda mais seguras
Artigo escrito por Thiago Brandatildeo
PARCERIA HostDime E Seguranccedila Digital51
Janeiro 2012 bull segurancadigital info
Webhosting
Desafios da gestatildeo de
seguranccedila de servidores
compartilhados (Parte I)
Thiago eacute especialista em seguranccedila e faz parte
do time de analistas de SI da HostDime Brasil
Nas horas vagas ou estaacute programando ou
fazendo o seu tatildeo querido Yoga
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Contato
contatosegurancadigital info
http wwwtwittercom_SegDigital
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info
Seguranccedila Digital4ordf Ediccedilatildeo shy Janeiro de 2012
_SegDigital segurancadigital
wwwsegurancadigital info