Março 2012 • segurancadigital.info|01

Lic

ença

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas aomesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar afonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem auto­rização prévia do responsável Fábio Jânio Lima Ferreira.

O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres­sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida umaversão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa­ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e10.695.

Parágrafo que respalda esta revista:§ 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de

obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ouconsistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen­te.

Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabilizapor quebra de direitos autorais, por qualquer colaborador.

Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor(quando disponível) e endereço do projeto.

Você não pode utilizar esta obra como fonte comercial. Este direito é de totalexclusividade do titular responsável por manter o site Segurança Digital.

VOCÊ PODE:

COMAS SEGUINTES CONDIÇÕES:

Copiar, distribuir, criar obras derivadas e exibir a obra.

Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outraobra com base nesta, você somente poderá distribuir a obra resultante sob umalicença idêntica a esta.

É, esse mês passou rápido. Até demais! Felizmente fechamoscom chave de ouro mais uma edição da Revista Segurança Digital,que ganhou uma nova roupagem, um visual desenhado a partir dozero. Como nosso objetivo é levar o melhor material até osleitores, este atraso pode ser perdoado, assim acredito.Nessa edição tivemos a inserção de um tutorial, prática que será

levada adiante nas edições seguintes, nossa colaboradora LígiaBarroso escreveu um artigo muito interessante sobre a área deDireito Digital atendendo a pedidos de leitores. É válido relembrarque você pode nos enviar sugestões por email, fazer comentáriosno site e até mesmo nas redes sociais em que temos participação(Twitter e Facebook).LDAP Injection é o artigo destaque dessa edição, escrito por

Bruno Cesar Moreira de Souza. Em seu artigo o autor em questãocomeça citando a vulnerabilidade chamada de "SQL Injection",muito utilizada por criminosos virtuais para conseguir acesso nãoautorizado a dados sensíveis ou até mesmo comprometer os dadosem questão, mas não para por aí. Além dos ataques de "SQLInjection" temos os seus irmãos "XPath Injection", "LDAPInjection", “SOAP Injection", "SMTP Injection" e muitos outros...Ainda falando sobre ataques de quem tem como objetivo realizaralgum tipo de injeção, é válido relembrar que em ediçõesanteriores desta revista falamos sobre "SQL Injection" e "PHPInjection". Voltando ao assunto principal dessa edição,demostrações de injeção a LDAP são efetuadas pelo autor,garantindo desta forma um melhor entendimento e aproveitamentodo artigo.Como mencionado logo no início dessa página, esta edição

conta com um tutorial prático referente a servidores SSH, escritopor Fábio Jânio. Atendendo a pedidos de leitores o tutorial emquestão possui uma abordagem bem simples e direta, o mesmoapresenta uma ferramenta de segurança utilizada para evitarataques do tipo brute­force e outros ataques do gênero, essaferramenta atende muito bem as necessidades de usuário,administradores e profissionais de segurança que trabalham ouutilizam ambiente GNU/Linux.

Sejam bem vindos a mais uma edição Revista SegurançaDigital...

Por Fábio Jânio

Março 2012 • segurancadigital.info|02

Editorial

DIRETOR E DIAGRAMADORFábio Jânio Lima Ferreirafabiojanio@segurancadigital.info

EDITORES­CHEFEJohnantan Pereirajohnantan.pereira@gmail.com

Luiz Felipe Ferreiralfferreira@gmail.com

EDITOR DE ARTEHélio José Santiago Ferreira

COLUNISTASAugusto Pannebecker Fernandesaugustopan@gmail.com

Thiago Fernandes Gaspar Caixetathiago.caixeta@gmail.com

Ronielton Rezende Oliveiraronielton@ronielton.eti.br

Julio Carvalhojulioinfo@gmail.com

Lígia Barrosoligiabarroso@hotmail.com

Bruno Cesar Moreira de Souzabruno.souza@ablesecurity.com.br

Nágila Magalhãesnagilamagalhaes@gmail.com

Fernando Shayanifernando@critteria.com.br

Yuri Diogenes

REVISÃOAndressa Findeisfindeis.andressa@gmail.com

Mauro Júniormaurompjunior@gmail.com

Raiana Pereiraraianagomes@yahoo.com.br

Na Internet

http://twitter.com/_SegDigital

www.facebook.com/segurancadigital

www.youtube.com/segurancadigital

www.segurancadigital.info

Artigo

Appliance de IDS/IPS ou Servidor com Snort?

Classificação da Informação

Criptografia simétrica e assimétrica (parte 1)

CyberWar a realidade que você desconhece

Direito & TI ­ os desafios do "novo profissionaldo direito" em 2012

DNSSEC ­ O antídoto contra os ataques DNS

LDAP Injection ­ Como Funciona o Ataque eComo se Proteger

Pericia Digital: Conheça a arte da investigação"digital"

OpenStack solução para contrução de nuvens

Otimização de Links WAN

Segurança em Cloud Computing

Dica / Tutorial

SSH ­ Proteção Com DenyHosts

Parceiros

4Linux

Data Security

HostDime

Kryptus

Anuncios / Divulgação

AbleSecurity

Data Security

Março 2012 • segurancadigital.info|03

Índic

e

05

07

11

16

19

21

25

30

33

35

37

41

58 ­ Coluna do leitorEmails, sugestões e comentários.Envie o seu e, contribua para com o nossoprojeto

44 ­ NotíciasFique informado quanto ao que aconteceno mundo virtual.

48

45

46

04 ­ Agenda TIConfira o calendário dos profissionaisde TI

49

56

57

LLiinnkkss::http://twitter.com/agendatihttp://www.facebook.com/agendatiagendati@fedorowicz.com.br

PPeerr ff ii ll RReessppoonnssáávveell ::Eduardo Fedorowiczhttp://twitter.com/fedorowicz

Março 2012 • segurancadigital.info|04

No universo de Segurança da Informação, entremuitos conceitos, está o de IDS/IPS. IDS (Intru­sion Detection System) como seu próprio sig­

nificado, faz uma detecção de intrusão e gera um alerta, jáIPS (Intrusion Prevention System) vai além de detec­tar a tentativa de invasão, barra esta de maneira a bloquearo tráfego malicioso, protegendo o ambiente.O SNORT é um software livre com o objetivo de

realizar esta função de IDS/IPS. Pode ser utilizadoem hardware proprietário (Appliance) ou em servidordedicado, reduzindo seu custo de implantação.Com o crescente aumento do número de ataques e

sua diversidade, cada vez mais as empresas vêem anecessidade de utilizar uma solução de IDS/IPS a fimde evitar que sejam exploradas vulnerabilidades exis­tentes em seu ambiente, sejam elas em protocolos oude softwares em uso.Com esta necessidade de segurança surge outra

questão a ser respondida: utilizar um ApplianceIDS/IPS de um fabricante ou utilizar um servidor de­dicado rodando SNORT?Um appliance traz consigo a confiabilidade e o su­

porte que o fabricante oferece, muitas vezes a um cus­to adicional, mas disponível mesmo assim. Já asolução de um servidor rodando SNORT, tem comoprincipal vantagem o custo, visto que o softwareSNORT é freeware e um bom servidor tem um custo

relativamente baixo. Vale lembrar que o SNORT tam­bém possui suporte do fabricante, tanto para osoftware quanto para novas ameaças que surgem nodia­a­dia. Porém este suporte também é ponto de dis­cussão sobre uma solução ou outra, pois geralmente aresposta do suporte de um fabricante de um applian­ce é mais rápido do que da equipe do SNORT.O objetivo deste artigo não é menosprezar uma ou

outra solução, apenas apontar alguns pontos essenci­ais para a tomada de decisão, de um administrador derede, para qual alternativa optar.A solução utilizando um appliance tem um custo

alto que muitas vezes não atende aos objetivos deuma pequena ou média empresa. Para tomar a deci­são sobre qual solução utilizar as empresas avaliamprimeiramente a relação custo benefício. Este appli­ance carrega consigo vantagens essenciais no desem­penho da comunicação de backbone de uma empresa,como por exemplo, ausência de latência na comuni­cação, o que para maioria das empresas é essencialnas suas comunicações. Explicando, o conjuntohardware e software de um appliance são construídosde maneira a não injetar latência na comunicaçãoquando faz inspeção do tráfego. O hardware de umappliance geralmente é construído especialmente pa­ra este fim, uma arquitetura especial que não permitea injeção de atrasos na comunicação. Quando o tráfe­

Março 2012 • segurancadigital.info|05

Appliance

deID

S/IPSou

Servidorcom

Snort?

go é intenso e supera um limite pré­determinado, defi­nido pelo fabricante ou administrador da rede, o mes­mo entra em modo failover, ou seja, faz um by­passnas suas portas, permitindo ao tráfego passar direta­mente pelo seu hardware sem inspeção. Isto para mui­tos é uma falha de segurança, deixar o tráfego passarsem inspeção, mas vale ressaltar que não é fácil atin­gir este limite do equipamento, é a última alternativado mesmo. Além disso, os administradores precisamter atenção para filtros habilitados que não possuemtráfego inspecionado contabilizado no equipamento,ocupando memória/CPU e contribuindo para que estelimite seja atingido.Já a solução de um servidor rodando SNORT, ape­

sar do mesmo suportar arquiteturas RISC e CISC dehardware, dificilmente não inserirá latência na comu­nicação, devido ao hardware do servidor não ter sidofabricado para este fim, por melhor que este seja. Es­ta solução, na opinião deste, tem sua melhor aplica­ção em pequenas e médias empresas, que nãonecessitam de tráfego externo livre de latência.Muitos fabricantes fazem uso do SNORT em seus

appliances, a principal diferença entre suas soluções eaquelas implementadas com servidores, é o hardwareproprietário – com um conjunto de processadores emlinha ­ fabricado especialmente para este fim. UmIDS/IPS, seja ele um appliance ou um SNORT, temseu funcionamento semelhante ao de um software an­ti­vírus. Ambos se utilizam de uma base de dados devulnerabilidades atualizada, para inspecionar o tráfe­go/arquivos a fim de detectar ameaças conhecidas, adiferença é que o IDS/IPS atua na camada 3 (rede) domodelo OSI e o anti­vírus na camada 7 (aplicação).Esta base de dados é atualizada sempre que uma vul­nerabilidade se torna conhecida e passa pela análisede uma equipe especializada, seja do fabricante do ap­pliance ou do SNORT. Esta explicação ajuda a enten­der o porquê da necessidade de um hardware tãorobusto para um IDS/IPS, pois o equipamento temque ser capaz de gerenciar o tráfego ao mesmo tempoem que o inspeciona procurando por ameaças, isto tu­do sem gerar a temida latência.Por fim, podemos concluir que ambas as soluções

tem o mesmo objetivo, proteção do ambiente, porémcom duas diferenças principais: custo e desempenho.Cabe aos CSO (Chief Security Officer) juntamentecom os administradores, avaliarem qual solução utili­zar, sempre levando em conta o escopo que desejamproteger e a melhor relação custo benefício para suaempresa.

ARTIGO Segurança Digital

|06

Augusto Pannebecker Fernandes

Técnico em Eletrônica e InformáticaIndustrial, superior em Análise e De­senvolvimento de Sistemas, pós­gra­duando em Especialização emSegurança da Informação 18 anos deexperiência na área de TI atualmenteatuando em Suporte de Redes/Tele­com, Administrador de IDS/IPS, Ana­lista e consultoria de segurança.

Email: augustopan@gmail.comTwitter: @AugustoPan

Figura 1 ­ Logo do Snort.

UUmm ppoouuccoo mmaaiiss ssoobbrree oo SSNNOORRTT

O Snort, ferramenta criada por Martin Roesch émuito utilizada no meio corporativo para detectartentativas de invasão. As chances de você ser umprofissional de segurança e não conhecer esta fer­ramenta são bem remotas.Hoje, além do Snort ser comercializado em for­

ma de appliances de alto desempenho a Sourcefirepossui uma linha de produtos também comerciali­zados da mesma forma, como por exemplo um an­ti­vírus que funciona na nuvem.Essa ferramenta possui uma solução open sour­

ce (grátis). Segundo seu criador basicamente nãoexiste quase nem uma diferença entre a soluçãopaga e grauita do produto principal (Snort), todosos pré­processadores, a lógica de detecção, oscomplementos de saída são os mesmos.

Site oficial: http://www.snort.org/

Março 2012 • segurancadigital.info

IInn tt rroodduuççããooDefinitivamente estamos vivendo a era da informa­

ção. Seja nas ruas, no trabalho ou em casa, para ondeolhamos somos inundados com as mais variadas infor­mações disponíveis nos mais diversos formatos: out­doors, livros, revistas, jornais, rádio, televisão,internet, etc. Muitas destas informações são úteis e se­rão utilizadas no nosso dia­a­dia, porém outras comcerteza terão pouca importância, devendo ser descon­sideradas.Saber analisar o que realmente é importante para

nós se torna um fato de extrema relevância, para nãoperdermos o foco do que nos interessa de verdade.Este exercício deve ser feito por todos, principalmen­te pelas organizações onde existe um ambiente emque a questão financeira será mais abrangente, poden­do as informações se tornarem um diferencial compe­titivo, além de otimizar o capital disponívelaplicando­o onde é essencialmente importante. Nossoobjetivo aqui é fornecer o entendimento necessário,para que você possa buscar a valorização e proteçãodos seus ativos de informação em sua organização damelhor forma possível.Neste contexto, é interessante entendermos sobre

a classificação das informações dentro das organiza­ções. As informações transitam dentro das empresasatravés dos mais variados canais, tais como publica­

ções, cds e dvds, pendrives, e­mails, sistemas, etc. esaber classificá­las de forma correta garante que es­tas recebam a devida proteção de acordo com seu ní­vel de criticidade durante todo o seu ciclo de vida,desde sua criação até o seu descarte. A informação éum bem precioso das organizações, assim seu valordeve ser reconhecido no nível mais apropriado e oscolaboradores devem saber como protegê­las, paraque não ocorram acessos indevidos, sejam modifica­das, excluídas por pessoas não autorizadas ou divul­gadas sem prévia autorização, podendo gerar sériosprejuízos ao negócio e à imagem da organização.Á respeito disso a ISO/IEC 27002:2005 diz que “a

informação possui vários níveis de sensibilidade ecriticidade. Alguns itens podem necessitar um níveladicional de proteção ou tratamento especial. Con­vém que um sistema de classificação da informaçãoseja usado para definir um conjunto apropriado de ní­veis de proteção e determinar a necessidade de medi­das especiais de tratamento”. Portanto a classificaçãodas informações pode ser entendida como um meca­nismo para que as empresas identifiquem, definamcritérios e níveis de proteção adequados às mais di­versas informações disponíveis nos mais diversosformatos. Assim garante­se a confidencialidade, inte­gridade e disponibilidade destas informações, alémde melhorar a aplicabilidade dos recursos financeiros

Março 2012 • segurancadigital.info|07

Classificaçã

odaInform

a-

ção

Uma maneira eficiente de proteger suasinformações e garantir o seu negócio

disponíveis, provendo segurança na medida certa pa­ra seus ativos.É importante ressaltar que todo este processo deve

ser periódico, ou seja, deve ser sempre revisto de tem­pos em tempos de forma a reavaliar o que está em vi­gor a fim de se constatar novas prioridades ecriticidades, lembrando que uma informação que pos­sui um determinado valor hoje pode não possuir omesmo valor amanhã, podendo até mesmo se tornardispensável para a organização.

CCoonncceeii ttoossA classificação da informação deve ser constituída

por uma política com normas e procedimentos a se­rem seguidos pelos colaboradores, constituindo emuma política que deverá fazer parte do projeto de se­gurança da informação. Para compreender melhor es­te contexto, é importante que tenhamos em mentealguns conceitos, buscando o entendimento necessá­rio para iniciar o desenvolvimento da política de clas­sificação da informação. Vamos dividir estesconceitos aqui em dois grupos principais: conceitosgerais e os atores, onde definiremos os papéis e as res­ponsabilidades. Abaixo podemos ver alguns concei­tos importantes quando falamos de classificação dasinformações:

Com relação aos atores, no processo de classificação

da informação temos vários colaboradores envolvidos,onde cada um deles irá assumir um papel importanteno processo. Podemos agrupar estas responsabilidadesem quatro grupos principais:

DDeeff iinn iinnddoo ooss nníívveeiiss ddee cc llaassss ii ff ii ccaaççããooOs níveis de classificação são onde serão enqua­

dradas as informações de acordo com prévia avalia­ção. São muito diversificados e podem variar deacordo com cada contexto em que está inserido, masno geral sua essência será sempre a mesma: definiruma escala de relevância com proteção adequada pa­ra os ativos de informação da organização. Assim va­mos analisar cenários de culturas diferentes para quepossamos entender melhor estes conceitos. O primei­ro deles é o governo dos Estados Unidos, que adotauma classificação por três níveis:

ARTIGO Segurança Digital

|08

Identificação: Toda informação deve estar devida­mente identificada.Tranquilidade: A classificação de determinada in­formação não deve ser alterada sem prévia autori­zação.Classificação: É a atribuição de um nível de prote­ção da informação.Desclassificação: Remoção do nível de proteçãoda informação, rebaixando sua classe.Reclassificação: Altera o nível de proteção da in­formação.Right to Know: É o direito de saber as origens dosriscos a que estão expostas as informações.Need to Know: Compreende a real necessidade dousuário de acessar determinada informação.Least Privilege: Os usuários devem possuir privi­légios mínimos para cumprir sua função.Auditoria: Deve­se manter um log de alteraçõespara fins de auditoria.System High Policy: A informação deve seguir onível de proteção da classe mais alta.

1. Proprietários das informações: são colabo­radores responsáveis pela classificação das infor­mações, reclassificação e desclassificação e devemparticipar de todo o processo referente à alteraçãoda mesma.2. Custodiantes: são os responsáveis pelo arma­

zenamento e preservação das informações de ter­ceiros. Um bom exemplo para estes profissionaisseriam os colaboradores de infraestrutura que sãoresponsáveis por servidores com informações quenão lhes pertencem.3. Gerentes: respondem pelo grupo de usuários

sob sua responsabilidade e por terceiros (visitantesou fornecedores) que utilizam informações da or­ganização.4. Usuários: em geral são os colaboradores que

possuem mais contato com a informação e fazemmaior uso dela.

Top Secret

Devem ser classificadas neste nível as informaçõescuja divulgação não autorizada possa causar algumdano grave a segurança nacional.

Secret

Enquadram­se neste nível as informações cuja reve­lação não autorizada possa causar algum dano sérioa segurança nacional.

Confidential

Informações cuja divulgação não autorizada possacausar algum dano à segurança nacional.

Março 2012 • segurancadigital.info

O segundo cenário, a classificação segundo o go­verno brasileiro, define em seu decreto nº 4.553/2002os níveis de proteção em:

Podemos constatar que as diferenças sempre irãoexistir nas mais diversas culturas, mas o objetivo prin­cipal será sempre o mesmo: a proteção dos ativos deinformação contra possíveis danos causados pela suamanipulação de forma incorreta. É importante citartambém que os ativos de informação deverão ser clas­sificados de acordo com cada meio em que está inseri­do. Por exemplo, o descarte de uma informaçãoreservada possui características diferentes do descartede uma informação ultra­sercreta assim como sua re­produção, transmissão ou transporte e assim deve se­guir para todos os níveis de classificação, meios ourecursos existentes.No âmbito corporativo também não é diferente.

Deve existir uma classificação segundo o grau de sigi­lo das informações, que seguirá os mesmos princípiosdos governos citados, mas não existe um padrão se­

guido por todas as organizações. Portanto poderãosofrer alterações de acordo com a necessidade de ca­da instituição. Assim vamos abordar aqui um modeloexemplificando sua aplicabilidade no mundo corpo­rativo:

Na classificação de informações como “Públicas”,exemplos comuns que se encaixam neste nível seri­am catálogos de serviços, informações institucionaisde portais corporativos, dentre outros, que não reque­rem um cuidado especial com relação á divulgação aterceiros, por possuir um conteúdo com baixa critici­dade para a organização e havendo muitas vezesgrande interesse na sua divulgação. Já as informa­ções tidas com de “Uso Interno” são informações quedevem transitar estritamente dentro das organizações.Podem estar neste contexto impressos, relatórios cominformações de baixa criticidade para a empresa, etc.Informações classificadas como “Restritas” são

informações mais sensíveis e, desta forma, devem sermanipuladas com cuidados especiais, geralmentecom autorização do proprietário para demais fins.Um bom exemplo são as informações relativas aosfuncionários, como salários e promoções, que devemser de conhecimento apenas dos participantes de taisprocessos na empresa.Temos para o nível mais alto desta cadeia de clas­

sificação, informações que requerem alto grau deatenção com sua proteção e manipulação. Informa­ções “Secretas” são informações onde poucos devemter conhecimento, geralmente colaboradores com po­sições estratégicas dentro das empresas. Aplicam­seneste cenário informações tais como chaves cripto­gráficas, planos de lançamento de novos produtos,fusões ou novas aquisições e etc., que com certezacausariam um grande estrago para a organização casotivessem seu conteúdo acessado por pessoas não au­torizadas.

ARTIGO Segurança Digital

|09

Ultra­Secretos

Dados ou informações referentes à soberania e à in­tegridade territorial nacionais, a planos e operaçõesmilitares, às relações internacionais do País [...], cu­jo conhecimento não­autorizado possa acarretar da­no excepcionalmente grave à segurança dasociedade e do Estado (4.553/2002, Art. 5º, § 1º).

Secretos

[...] Dados ou informações referentes a sistemas,instalações, programas, projetos, planos ou opera­ções de interesse da defesa nacional, a assuntos di­plomáticos e de inteligência [...], programas ouinstalações estratégicos, cujo conhecimento não­au­torizado possa acarretar dano grave à segurança dasociedade e do Estado (4.553/2002, Art. 5º, § 2º).

Confidenciais

[...] Dados ou informações que, no interesse do Po­der Executivo e das partes, devam ser de conheci­mento restrito e cuja revelação não­autorizada possafrustrar seus objetivos ou acarretar dano à segurançada sociedade e do Estado (4.553/2002, Art. 5º, § 3º).

Reservados

[...] Dados ou informações cuja revelação não­auto­rizada possa comprometer planos, operações ou ob­jetivos neles previstos ou referidos (4.553/2002, Art.5º, § 4º).

Março 2012 • segurancadigital.info

É importante ressaltar que a classificação por ní­veis deve ser dividida em duas partes: meios digitaise meios não digitais. Informações presentes nestesdois meios possuem características diferentes, trafe­gam em locais diferentes e, portanto necessitam decuidados diferentes em seu processo de classificação.Logo abaixo podemos visualizar um panorama geralda classificação da informação segundo o contexto re­tratado acima:

CCoonncc lluussããooPodemos constatar que a classificação das informa­

ções é um processo de extrema relevância para as or­ganizações. Porém, para que alcance seus objetivos,deve­se seguir todas as etapas necessárias, desde o le­vantamento inicial das necessidades do negócio até otreinamento dos usuários para o bom cumprimentodos procedimentos originados da política de classifi­cação das informações, o que será fator decisivo paraque a política seja seguida conforme implantada e fun­cione de forma satisfatória. Deve ser acompanhadade forma constante pelos responsáveis, atualizada eotimizada sempre que necessário, para que reflitasempre o estado atual da organização e se constituaem mais uma importante ferramenta para a segurançadas informações dentro do ambiente organizacional.

BBiibb ll iiooggrraaff iiaassAfonso Kalil, Fumec, 2011. Material didático.

DECRETO Nº 4.553, DE 27 DE DEZEMBRO DE2002. Disponível em:<http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm>. Acesso em: 10 de mar 2012.

ELETRONIC PRIVACY INFORMATION CENTER.Disponível em:<http://epic.org/open_gov/eo_12356.html>. Acesso

em: 10 de mar 2012.

FERREIRA, João Carlos Peixoto; NETO, EnnistenMudado; LEITE, Ricardo A. C.. Classificação daInformação de acordo com normal ISO/IEC17799:2005. Disponívelem:<https://www.jhcruvinel.com/index.php?option=com_docman&task=doc_view&gi =62&Itemid=2>.Acesso em: 11 de mar 2012.

Francisco Temponi, Fumec,2011. Material didático.

ISO/IEC 17799:2005.

PIKE, Jonh. Security andClassification Disponívelem:<http://www.ostgate.com/classification.html>. Acessoem: 11 de mar 2012.

SECURITY HACKER. Disponível em:<http://www.securityhacker.org/artigos/item/classificacao­da­informacao>. Acesso em: 12 de mar 2012.

SILVA, Aldo. Disponível em: <http://hercules­now.com/2010/03/30/classificacao­da­informacao­%E2%80%93­parte­2/>. Acesso em: 12 de mar 2012.

ARTIGO Segurança Digital

|10

Thiago Fernandes Gaspar Caixeta

Graduado em Ciência da Computação eMBA em Gestão da Segurança da Infor­mação pela Universidade Fumec, atua naárea de TI como Analista de Sistemas eSegurança da Informação. Entusiasta daforense computacional.

E­mail: thiago.caixeta@gmail.comTwitter: @tfgcaixeta

Março 2012 • segurancadigital.info

A palavra criptografia provém dos radicais gregoskriptos (oculto) e grapho (escrita) e é o nome da­do à ciência ou arte de codificar mensagens usan­

do uma fórmula, que também será utilizada depois paradecodificar a mesma mensagem. Na criptografia moderna,esta fórmula é chamada de algoritmo. Usada há milêniospela humanidade, a criptografia se tornou essencial paragarantir a privacidade das comunicações no mundo atual,principalmente em redes de computadores públicas comoa internet, por onde circulam dados pessoais, comerciais,bancários e outros. Conhecer, difundir e utilizar algorit­mos criptográficos é essencial ao profissional de Tecnolo­gia da Informação que no mundo moderno, entre suasatribuições deve proteger e garantir a privacidade das tran­sações comerciais realizadas através de meios eletrônicos,assim é fundamental o entendimento das técnicas, seus al­goritmos, protocolos e finalmente a maneira como estes li­dam com a informação a ser mantida segura.

Palavras chave: Criptografia; Algoritmo; Segurança.

11.. IInnttrroodduuççããooQuando falamos de informação e transportamos es­

te conceito para o meio digital, particularmente na uti­lização das redes públicas de computação como ainternet, e diversos são os serviços realizados é rele­vante ao ser humano à credibilidade nos sistemas

computacionais, estes que inseridos nos fundamentosda segurança da informação, são definidos pela dis­ponibilidade, integridade, controle de acesso, autenti­cidade, não­repudiação e finalmente a privacidade,os quais devem ser de livre compreensão e facilmen­te perceptíveis ao se efetuar transações computacio­nais:

O exemplo clássico é uma compra pela internet,todos os requisitos são encontrados neste processo detroca de informações: A informação que permite a

|11

Criptografiasimétrica

eassim

étrica

(parte1)

Conheça os principais algoritmos de cifragem

Não se esqueça de ler a continuidade deste artigo napróxima edição da Revista Segurança Digital...

Disponibilidade ­ garantir que uma informaçãoestará disponível para acesso no momento deseja­do.Integridade ­ garantir que o conteúdo da men­

sagem não foi alterado.Controle de acesso ­ garantir que o conteúdo da

mensagem somente será acessado por pessoas au­torizadas.Autenticidade ­ garantir a identidade de quem

está enviando a mensagem.Não­repudiação ­ prevenir que alguém negue o

envio e/ou recebimento de uma mensagem.Privacidade ­ impedir que pessoas não autori­

zadas tenham acesso ao conteúdo da mensagem,garantindo que apenas a origem e o destino tenhamconhecimento.

Março 2012 • segurancadigital.info

transação ­ valor e descrição do produto ­ precisaestar disponível no dia e na hora que o cliente desejarefetuá­la (disponibilidade), o valor da transação nãopode ser alterado (integridade), somente o cliente queestá comprando e o comerciante devem ter acesso àtransação (controle de acesso), o cliente que estácomprando deve ser realmente quem diz ser(autenticidade), o cliente tem como provar opagamento e o comerciante não têm como negar orecebimento (não­repúdio) e o conhecimento doconteúdo da transação fica restrito aos envolvidos(privacidade).Assim é fundamental que técnicas computacionais

sejam empregadas para que os requisitos de proteçãoda informação sejam atendidos. Neste cenárioapresentam­se os dois tipos básicos de criptografia: asimétrica ou chave privada, e a assimétrica ou chavepública.

22.. CCrriippttooggrraaffiiaa ssiimmééttrriiccaa oouu cchhaavvee pprriivvaaddaaO modelo mais antigo de criptografia, em que a

chave, isto é, o elemento que dá acesso à mensagemoculta trocada entre duas partes, é igual (simétrica)para ambas as partes e deve permanecer em segredo(privada). Tipicamente, esta chave é representada poruma senha, usada tanto pelo remetente para codificara mensagem numa ponta, como pelo destinatário paradecodificá­la na outra.Essencialmente, quando a origem (ALFA) cifra

uma mensagem, ele utiliza um algoritmo deciframento para transformar o conteúdo em claro damensagem em texto cifrado. Quando o destino(BRAVO) decifra uma mensagem, ele utiliza oalgoritmo de deciframento correspondente paraconverter o texto cifrado de novo em uma mensagemclara. Se um intruso (CHARLIE) conhecer oalgoritmo de ciframento, ele poderia decifrar umamensagem cifrada tão facilmente quanto o destino(BRAVO). A solução no uso da criptografia de chaveprivada propõe que quando a origem (ALFA) cifrauma mensagem, ele utilize um algoritmo deciframento e uma chave secreta para transformar umamensagem clara em um texto cifrado. O destino(BRAVO), por sua vez, ao decifrar a mensagem,utiliza o algoritmo de deciframento correspondente ea mesma chave para transformar o texto cifrado emuma mensagem em claro. O intruso (CHARLIE), pornão possuir a chave secreta, mesmo conhecendo oalgoritmo, não conseguirá decifrar a mensagem. Asegurança do sistema passa a residir não mais no

algoritmo e sim na chave empregada. É ela (chaveprivada) que agora, no lugar do algoritmo, deverá sermantida em segredo pela origem (ALFA) e destino(BRAVO).A principal vantagem é a simplicidade, esta

técnica apresenta facilidade de uso e rapidez paraexecutar os processos criptográficos. Entenda que seas chaves utilizadas forem complexas a elaboraçãode um algoritmo de chave privada se torna bastantefácil, porém as possibilidades de interceptação sãocorrelatas aos recursos empregados, entretanto suautilização é considerável no processo de proteção dainformação, pois quanto mais simples o algoritmo,melhor é a velocidade de processamento e facilidadede implementação.O principal problema residente na utilização deste

sistema de criptografia é que quando a chave deciframento é a mesma utilizada para deciframento,ou esta última pode facilmente ser obtida a partir doconhecimento da primeira, ambas precisam sercompartilhadas previamente entre origem e destino,antes de se estabelecer o canal criptográficodesejado, e durante o processo de compartilhamentoa senha pode ser interceptada, por isso é fundamentalutilizar um canal seguro durante o compartilhamento,este independente do destinado à comunicaçãosigilosa, uma vez que qualquer um que tenha acessoà senha poderá descobrir o conteúdo secreto damensagem. Outras lacunas são interpostas a estesistema:

Tabela 1 ­ Principais algoritmos de chave privada oucriptografia simétrica

ARTIGO Segurança Digital

|12

Como cada par necessita de uma chave para secomunicar de forma segura, para um uma rede den usuários precisaríamos de algo da ordem de n2chaves, quantidade esta que dificulta a gerênciadas chaves;A chave deve ser trocada entre as partes e arma­

zenada de forma segura, o que nem sempre é fácilde ser garantido;A criptografia simétrica não garante os princípi­

os de autenticidade e não­repudiação.

Março 2012 • segurancadigital.info

33.. CCrriippttooggrraaffiiaa aassssiimmééttrriiccaa oouu cchhaavveeppúúbblliiccaaModelo de criptografia criado na década de 1970 ­

pelo matemático Clifford Cocks que trabalhava noserviço secreto inglês, o GCHQ ­ na qual cada parteenvolvida na comunicação usa duas chaves diferentes(assimétricas) e complementares, uma privada e outrapública. Neste caso, as chaves não são apenas senhas,mas arquivos digitais mais complexos (que eventual­mente até estão associados a uma senha). A chave pú­blica pode ficar disponível para qualquer pessoa quequeira se comunicar com outra de modo seguro, masa chave privada deverá ficar em poder apenas de cadatitular. É com a chave privada que o destinatário pode­rá decodificar uma mensagem que foi criptografadapara ele com sua respectiva chave pública.Para entender o conceito, basta pensar num cadea­

do comum protegendo um determinado bem. A men­

sagem é este bem, e o cadeado, que pode ficarexposto, é a chave pública. Apenas quem tiver umachave particular (privada) que consiga abrir o cadea­do poderá acessar a mensagem. A principal vantagemdeste método é a sua segurança, pois não é preciso(nem se deve) compartilhar a chave privada. Por ou­tro lado, o tempo de processamento de mensagenscom criptografia assimétrica é muitas vezes maior doque com criptografia simétrica, o que pode limitarseu uso em determinadas situações.Essencialmente, o destino (BRAVO) e todos os

que desejam comunicar­se de modo seguro geramuma chave de ciframento e sua correspondente chavede deciframento. Ele mantém secreta a chave de de­ciframento, esta é chamada de sua chave privada. Eletorna pública a chave de ciframento, esta é chamadade sua chave pública. A chave pública realmente con­diz com seu nome. Qualquer pessoa pode obter uma

ARTIGO Segurança Digital

|13

Algoritmo Bits Descrição

AES 128

O Advanced Encryption Standard (AES) é uma cifra de bloco, anunciado pelo National Institute ofStandards and Technology (NIST) em 2003, fruto de concurso para escolha de um novo algoritmo dechave simétrica para proteger informações do governo federal, sendo adotado como padrão pelo go­verno dos Estados Unidos, é um dos algoritmos mais populares, desde 2006, usado para criptografiade chave simétrica, sendo considerado como o padrão substituto do DES. O AES tem um tamanho debloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bits, ele é rápido tanto emsoftware quanto em hardware, é relativamente fácil de executar e requer pouca memória.

DES 56

O Data Encryption Standard (DES) foi o algoritmo simétrico mais disseminado no mundo, até a pa­dronização do AES. Foi criado pela IBM em 1977 e, apesar de permitir cerca de 72 quadrilhões decombinações, seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "forçabruta" em 1997 em um desafio lançado na internet. O NIST que lançou o desafio mencionado, recerti­ficou o DES pela última vez em 1993, passando então a recomendar o 3DES.

3DES 112 ou 168O 3DES é uma simples variação do DES, utilizando o em três ciframentos suscessivos, podendo em­pregar uma versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser umalgoritmo padrão.

IDEA 128

O International Data Encryption Algorithm (IDEA) foi criado em 1991 por James Massey e Xuejia Laie possui patente da suíça ASCOM Systec. O algoritmo é estruturado seguindo as mesmas linhas geraisdo DES. Mas na maioria dos microprocessadores, uma implementação por software do IDEA é maisrápida do que uma implementação por software do DES. O IDEA é utilizado principalmente no merca­do financeiro e no PGP, o programa para criptografia de e­mail pessoal mais disseminado no mundo.

Blowfish 32 a 448 Algoritmo desenvolvido por Bruce Schneier, que oferece a escolha, entre maior segurança ou desem­penho através de chaves de tamanho variável. O autor aperfeiçoou o no Twofish.

Twofish 128

É uma das poucas cifras incluídas no OpenPGP. O Twofish é uma chave simétrica que emprega a cifrade bloco de 128 bits, utilizando chaves de tamanhos variáveis, podendo ser de 128, 192 ou 256 bits. Elerealiza 16 interações durante a criptografia, sendo um algoritmo bastante veloz. A cifra Twofish não foipatenteada estando acessível no domínio público, como resultado, o algoritmo Twofish é de uso livrepara qualquer um utilizar sem restrição.

RC2 8 a 1024Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e utilizado no protocolo S/MIME,voltado para criptografia de e­mail corporativo. Também possui chave de tamanho variável. Rivesttambém é o autor dos algoritmos RC4, RC5 e RC6.

CAST 128

É um algoritmo de cifra de bloco, sendo criado em 1996 por Carlisle Adams e Stafford Tavares. OCAST­128 é um algoritmo de Feistel, com 12 a 16 iterações da etapa principal, tamanho de bloco de 64bits e chave de tamanho variável (40 a 128 bits, com acréscimos de 8 bits). Os 16 rounds de iteraçãosão usados quando a chave tem comprimento maior que 80 bits.

Março 2012 • segurancadigital.info

cópia dela. O destino (BRAVO) inclusive encoraja is­to, enviando­a para seus amigos ou publicando­a nainternet. Assim, O intruso (CHARLIE) não tem ne­nhuma dificuldade em obtê­la. Quando a origem (AL­FA) deseja enviar uma mensagem ao destino(BRAVO), precisa primeiro encontrar a chave públicadele. Feito isto, ela cifra sua mensagem utilizando achave pública do destino (BRAVO), despachando­aem seguida. Quando o destino (BRAVO) recebe amensagem, ele a decifra facilmente com sua chaveprivada. O intruso (CHARLIE), que interceptou amensagem em trânsito, não conhece a chave privadado destino (BRAVO), embora conheça sua chave pú­blica. Mas este conhecimento não o ajuda a decifrar amensagem. Mesmo a origem (ALFA), que foi quemcifrou a mensagem com a chave pública do destino

(BRAVO), não pode decifrá­la agora.A grande vantagem deste sistema é permitir a

qualquer um enviar uma mensagem secreta, apenasutilizando a chave pública de quem irá recebê­la. Co­mo a chave pública está amplamente disponível, nãohá necessidade do envio de chaves como feito nomodelo simétrico. A confidencialidade da mensagemé garantida, enquanto a chave privada estiver segura.Caso contrário, quem possuir acesso à chave privadaterá acesso às mensagens.O óbice deste sistema é a complexidade emprega­

da no desenvolvimento dos algoritmos que devem sercapazes de reconhecer a dupla de chaves existentes epoder relacionar as mesmas no momento oportuno, oque acarreta num grande poder de processamentocomputacional.

ARTIGO Segurança Digital

|14

Algoritmo Descrição

RSA

O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e LenAdleman, que o criaram em 1977 no MIT. Atualmente, é o algoritmo de chave pública mais amplamente utilizado,além de ser uma das mais poderosas formas de criptografia de chave pública conhecidas até o momento. O RSAutiliza números primos. A premissa por trás do RSA consiste na facilidade de multiplicar dois números primos paraobter um terceiro número, mas muito difícil de recuperar os dois primos a partir daquele terceiro número. Isto éconhecido como fatoração. Por exemplo, os fatores primos de 3.337 são 47 e 71. Gerar a chave pública envolvemultiplicar dois primos grandes; qualquer um pode fazer isto. Derivar a chave privada a partir da chave públicaenvolve fatorar um grande número. Se o número for grande o suficiente e bem escolhido, então ninguém pode fazeristo em uma quantidade de tempo razoável. Assim, a segurança do RSA baseia se na dificuldade de fatoração denúmeros grandes. Deste modo, a fatoração representa um limite superior do tempo necessário para quebrar oalgoritmo. Uma chave RSA de 512 bits foi quebrada em 1999 pelo Instituto Nacional de Pesquisa da Holanda, como apoio de cientistas de mais 6 países. Levou cerca de 7 meses e foram utilizadas 300 estações de trabalho para aquebra. No Brasil, o RSA é utilizado pela ICP­Brasil, no seu sistema de emissão de certificados digitais, e a partirdo dia 1º de janeiro de 2012, as chaves utilizadas pelas autoridades certificadoras do país, passam a serem emitidascom o comprimento de 4.096bits, em vez dos 2.048bits atuais.

Tabela 2 ­ Principais algoritmos de chave pública ou criptografia assimétrica

ElGamal

O ElGamal é outro algoritmo de chave pública utilizado para gerenciamento de chaves. Sua matemática difere dautilizada no RSA, mas também é um sistema comutativo. O algoritmo envolve a manipulação matemática degrandes quantidades numéricas. Sua segurança advém de algo denominado problema do logaritmo discreto. Assim,o ElGamal obtém sua segurança da dificuldade de calcular logaritmos discretos em um corpo finito, o que lembrabastante o problema da fatoração.

Diffie­Hellman

Também baseado no problema do logaritmo discreto, e o criptosistema de chave pública mais antigo ainda em uso.O conceito de chave pública, aliás foi introduzido pelos autores deste criptosistema em 1976. Contudo, ele nãopermite nem ciframento nem assinatura digital. O sistema foi projetado para permitir a dois indivíduos entrarem emum acordo ao compartilharem um segredo tal como uma chave, muito embora eles somente troquem mensagens empúblico.

CurvasElípticas

Em 1985, Neal Koblitz e V. S. Miller propuseram de forma independente a utilização de curvas elípticas parasistemas criptográficos de chave pública. Eles não chegaram a inventar um novo algoritmo criptográfico com curvaselípticas sobre corpos finitos, mas implementaram algoritmos de chave pública já existentes, como o algoritmo deDiffie­Hellman, usando curvas elípticas. Assim, os sistemas criptográficos de curvas elípticas consistem emmodificações de outros sistemas (o ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas,em vez de trabalharem no domínio dos corpos finitos. Eles possuem o potencial de proverem sistemascriptográficos de chave pública mais seguros, com chaves de menor tamanho. Muitos algoritmos de chave pública,como o Diffie­Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos.Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública, o grande tamanho de suaschaves. Porém, os algoritmos de curvas elípticas atuais, embora possuam o potencial de serem rápidos, são em geralmais demorados do que o RSA.

Março 2012 • segurancadigital.info

44.. CCeerrttiiffiiccaaddoo ddiiggiittaallCom um sistema de chave pública, o

gerenciamento de chaves passa a ter dois novosaspectos: primeiro, deve­se previamente localizar achave pública de qualquer pessoa com quem sedeseja comunicar e, segundo, deve­se obter umagarantia de que a chave pública encontrada sejaproveniente daquela pessoa. Sem esta garantia, umintruso pode convencer os interlocutores de quechaves públicas falsas pertencem a eles.Estabelecendo um processo de confiança entre osinterlocutores, o intruso pode fazer­se passar porambos. Deste modo, quando um emissor enviar umamensagem ao receptor solicitando sua chave pública,o intruso poderá interceptá­la e devolver­lhe umachave pública forjada por ele. Ele também pode fazero mesmo com o receptor, fazendo com que cada ladopense que está se comunicando com o outro, quandona verdade estão sendo interceptados pelo intruso,então este pode decifrar todas as mensagens, cifrá­lasnovamente ou, se preferir, até substituí­las por outrasmensagens. Através deste ataque, um intruso podecausar tantos danos ou até mais do que causaria seconseguisse quebrar o algoritmo de ciframentoempregado pelos interlocutores.A garantia para evitar este tipo de ataque é

representada pelos certificados de chave pública,comumente chamados de certificado digital, taiscertificados consistem em chaves públicas assinadaspor uma pessoa de confiança. Servem para evitartentativas de substituição de uma chave pública poroutra. O certificado contém algo mais do que suachave pública, ele apresenta informações sobre onome, endereço e outros dados pessoais, e é assinadopor alguém em quem o proprietário deposita suaconfiança, uma autoridade de certificação(certification authority ­ CA). Assim, um certificadodigital pode ser definido como um documentoeletrônico, assinado digitalmente por uma terceiraparte confiável.No Brasil, o órgão da autoridade certificadora raiz

é o ICP­Brasil (AC­Raiz), ele é o executor daspolíticas de certificados e normas técnicas eoperacionais aprovadas pelo Comitê Gestor da ICP­Brasil. São autoridades certificadoras no país: Serpro(AC­SERPRO), Caixa Econômica Federal (AC­CAIXA), Serasa Experian (AC­SERASA), ReceitaFederal do Brasil (AC­RFB), Certsing (AC­Certisign), Imprensa Oficial do Estado de São Paulo(AC­IOSP), Autoridade Certificadora da Justiça (AC­

JUS), Autoridade Certificadora da Presidência daRepública (AC­PR) e Casa da Moeda do Brasil (AC­CMB).Assim, a AC­Raiz tem autoridade de emitir,

expedir, distribuir, revogar e gerenciar os certificadosdas autoridades certificadoras de nível imediatamentesubsequente ao seu, sendo também encarregada deemitir a lista de certificados revogados e de fiscalizare auditar as autoridades certificadoras, autoridades deregistro e demais prestadores de serviço habilitadosna ICP­Brasil. Além disso, verifica se as autoridadescertificadoras (ACs) estão atuando em conformidadecom as diretrizes e normas técnicas estabelecidaspelo Comitê Gestor.

ARTIGO Segurança Digital

|15

Ronielton Rezende Oliveira

MBA Executivo Internacional pela OhioUniversity/USA; MBA Gerenciamentode Projetos pela FGV; pós­graduadoCriptografia e Segurança em Redes pelaUFF; graduado Ciência da Computaçãopela UninCor. Certificado PMP, CobiT,ITIL. Carreira direcionada em Gover­nança de TI, Segurança da Informação eGerenciamento de Projetos.

Site: http://www.ronielton.eti.brEmail: ronielton@ronielton.eti.brTwitter: @ronielton

CCoonnttiinnuuaa nnaa pprróóxxiimmaa eeddiiççããoo......

Aguarde a próxima edição de nossa revista parapoder conferir a continuidade deste artigo. Veja abai­xo os pontos que ainda serão vistos:

5. Assinatura digital;

6. Função hashing;

7. Sistemas híbridos;

8. Conclusão.

Março 2012 • segurancadigital.info

Vírus, DDoS e CyberWar, há alguma relação entreeles? Para respondermos a essa questão é preciso vol­tar um pouco na história da computação e entender co­mo tudo começou.1982 o vírus considerado como precursor de tudo

o que vemos hoje, foi criado por um garoto de 15anos...1983 o pesquisador Len Eidelmen apresentou, em

um seminário de segurança computacional, o que se­ria o primeiro código de computadores com capacida­de para se auto­replicar e no ano seguinte o termoVÍRUS foi definido como um programa com capaci­dade de alterar o código de outros programas replican­do assim seu código para outras partes do sistema.1986 o primeiro virus para PC foi descoberto e a

ele deram o nome de Brain. Criado para infectar aárea de boot dos sistemas, o Brain era transmitido pordisquetes e seu método de infecção foi bastante "po­pular" até meado dos anos 90.1988 o primeiro código malicioso transmitido pela

internet ficou conhecido como Morris Worm e foi dis­tribuído acidentalmente para cerca de 60.000 compu­tadores conectados que tiveram seu sistemaoperacional inutilizado. A propagação e eficácia doMorris Worm foi ocasionada devido ao um erro no có­digo do programa. Ao tentar ser processado pelos sis­temas os mesmos acabavam sendo corrompidos.

No fim dos anos 90 e inicio dos anos 2000 tive­mos o grande "BOOM" de propagação de vírus nomundo. Diversos Worms foram criados e milhões desistemas foram infectados, prejudicados e até mesmoinutilizados. Alguns dos principais vírus foram o"Chernobyl" de 1999, "I love You" de 2000, "Nim­da" de 2001, "SQL Slammer" de 2003 e "Sasser" de2004. A principal característica entre eles? O poderde propagação e indisponibilidade de sistemas.Aproveitando a expansão dos vírus na internet, o

email se tornou o principal meio de distribuição denovas pragas, cerca de 67% de todos os emails quecirculam na internet atualmente são SPAM e esse nú­mero já chegou a 97% entre o fim de 2009 e inicio de2010. Os ataques tem se tornado mais seletivos ecomplexos e não tem visado apenas usuários comuns,mas executivos de grandes corporações, chefes mili­tares e governantes.Com o aumento da capacidade de navegação e do

uso dos smartphones, os códigos maliciosos começa­ram a serem distribuídos diretamente pelos sites eaplicativos. As vulnerabilidades presentes nas aplica­ções e browsers e a falta de conhecimento do usuáriofacilitam esse trabalho. Praticamente toda semana épublicada uma matéria com o aumento dos códigosmaliciosos desenvolvidos para o sistema Android enão faltam artigos do mesmo problema para o iOS.

|16

Cyb

erWararealidade

quevo

cêdesconhece

VOCÊ também faz parte do jogo!!! A Internet se tornou umverdadeiro tabuleiro de Xadrez. As nações são Reis e Rai­nhas, empresas de segurança são bispos e cavalos, analistasde TI as Torres e os usuários são os Peões!!!

“Não sei como será a Terceira Guerra Mundial, mas po­derei vos dizer como será a Quarta: com paus e pedras.”

Albert Einstein

Março 2012 • segurancadigital.info

2006 crackers russos causaram a indisponibilidadede vários sites e serviços da Estônia. Os ataques ocor­reram em represália à remoção de uma estátua debronze de um soldado da 2ª Guerra Mundial na cida­de de Tallinn. A estátua era em homenagem ao triunfosoviético sobre as tropas nazistas. Os ataques foramtão intensos e por um período tão longo que especia­listas da OTAN, União Européia e EUA se reuniramem Tallinn a fim de ajudar e tentar encontrar uma for­ma de lidar de forma efetiva com os ataques. Diver­sos outros países foram envolvidos nesse conflito e"felizmente" em 10 de maio de 2007 os ataques fo­ram interrompidos abruptamente, isso só ocorreu por­que o tempo de uso dos servidores "alugados" peloscrackers havia se esgotado.2007 o governo chinês foi acusado de autorizar

seus militares a tentarem invadir os sistemas america­no, alemão, do reino unido e francês. De acordo comesses governos a finalidade do ataque chinês era oroubo de informações confidenciais militares. Por suavez, o governo chinês afirmou que é totalmente con­tra qualquer tipo de ataques do tipo e que também eravítima do mesmo tipo de ataque e que seus sistemasforam bastante prejudicados com tais atos.2008, a Rússia foi acusada pela Geórgia de atacar

virtualmente seus sistemas enquanto o exército russoinvadia o país. Infraestruturas tecnológicas da Geór­gia foram indisponibilizados. O governo russo negouqualquer acusação e "oficialmente" divulgou que osataques foram gerados por grupos crackers.2010 o governo Iraniano acusa os EUA e Israel de

plantar um vírus com código extremamente detalhadoe eficiente nos sistemas de energia nuclear do país ecausar o sua interrupção. O vírus em questão é conhe­cido como Stuxnet, sua disseminação é global eEUA, Inglaterra, Alemanha, Australia, entre outros,já informaram que também tiveram seus sistemas in­fectados por ele. O que o torna tão especial e perigo­so é o fato dele ter sido desenvolvido para atacar umsistema desenvolvido especificamente pela Siemens(SCADA) que é utilizado para controle de equipamen­tos de tubulação de petróleo, centrais elétricas, aero­portos, navios, etc. No caso em questão, ascentrífugas de enriquecimento iranianas é que foramafetadas, mas nada impede que danos maiores pos­sam ser causados, como a abertura ou fechamento dedistribuição de gás ou água provocando danos físicos.Em 2010 foi divulgado pelo governo Norte Ameri­

cano um relatório de Estratégia Internacional para oCyberespaço (ISC na sigla em Inglês) aonde é sugeri­

do que o tratado de agressões da OTAN vale tambémpara o mundo virtual. “Todos os estados possuem umdireito inerente de autodefesa, e reconhecemos quecertos atos hostis realizados através do ciberespaçopodem obrigar ações no âmbito dos compromissosque temos com nossos parceiros de tratados milita­res”, afirma o documento. “Atividades realizadas nociberespaço têm consequências para a nossa vida noespaço físico, e temos de trabalhar para a construçãodo estado de direito.” O relatório cita nominalmentea OTAN como exemplo desses tratados militares. Is­so se deve ao fato de a maioria dos tratados e das leisnão abrangerem a Internet como "campo de batalha".Nos últimos anos os ataques DDoS tem se intensi­

ficado e passaram a ser utilizados não apenas por“hacktivistas” mas por nações. O grupo Anonymousse tornou mundialmente conhecido ao causar a indis­ponibilidade de sites financeiros por retirarem seuspatrocínios e bloqueio de contas do Wikileaks. Visan­do aumentar o seu poderio, começou a distribuir umaplicativo DDoS para usuários que apoiem a “causa”.O mesmo grupo está agora alertando a seus “usuá­

rios” sobre alguns links aonde distribuíam a versãodo seu aplicativo de ataque DDoS. Os links foram al­terados por “crackers” para baixar uma versão doSlowloris modificado que contém o Trojan Zeus.Zeus é responsável pelo roubo de dados pessoais ebancários nos computadores aonde está instalado e éconsiderado o TROJAN com maior número de infec­ções existentes atualmente.

A CyberWar já é uma realidade, a todo instante

ARTIGO Segurança Digital

|17

Figura 1 ­ Grupo de hacktivistas que se especializou

em atacar grandes organizações (Interpol, CIA, etc).

Março 2012 • segurancadigital.info

milhares de ataques são disparados e a dificuldadeem identificar a sua origem ou de punir os responsá­veis é o maior facilitador para essa propagação.Diferentemente de um ataque presencial, a INTER­

NET nos proporciona estar em contato com X pesso­as e Y locais do mundo ao mesmo tempo. Com umpouco de conhecimento e disposição é possível fazerum grande estrago a alguém ou alguma empresa e atémesmo causar incidentes internacionais. Afinal, nãohá como provar que foi um indivíduo de forma inde­pendente que invadiu a NASA e não o governo Chi­nês. Assim como não há como provar quem tirou doar o site do partido Comunista. Mesmo que seja acei­to que o ataque originado não foi militar, o porque doindivíduo não ter sido identificado e capturado sem­pre levantará suspeitas de proteção e apoio de cadanação.Um estudo realizado pela empresa de segurança

Northrop Grumman, aponta o aumento da preocupa­ção Norte Americana com o avanço tecnológico chi­nês. A grande complexidade e distribuição doscomponentes microeletrônicos e de telecomunicaçõesdificulta, e até impossibilita, que as empresas possamatestar a autenticidade desses componentes. Firmwa­res podem conter acessos secretos em seus códigos eum serviço de inteligência pode utilizar desse recursopara invadir os sistemas sem que seja identificado. OGoverno Chinês tem investido fortemente em pesqui­sas tecnológicas e de segurança nas Universidades dopaís. "Os líderes chineses adotaram a ideia de que pa­ra vencer uma guerra é preciso ter controle externodas informações e sistemas, geralmente de forma pre­ventiva". "Comandantes chineses podem escolherusar o acesso profundo às redes norte­americanas delogística e controlar os dados para coletar informa­ções de alto valor em tempo real ou corromper os da­dos sem destruir redes ou hardwares", diz o estudo.A prova de que mesmo aqui no Brasil já há preocu­

pação quanto a Cyberwar é que o Exército brasileirofinalizou recentemente duas licitações para comprasde softwares de antivírus e simulação e ataques virtu­ais que serão desenvolvidos exclusivamente por em­presas brasileiras. O investimento de cerca de R$6.000.000,00 é parte da estratégia militar para alcan­çar um alto nível tecnológico até 2015.Durante o período da Guerra Fria (capitalismo Nor­

te Americano e socialismo/comunismo Soviético), omundo viveu momentos de tensão durante alguns di­as com o iminente início de uma 3ª Guerra Mundialcom armamentos nucleares, alguns especialistas di­

zem que uma guerra tecnológica pode ter danos supe­riores a uma guerra nuclear.Se a 3ª Guerra Mundial ocorrer, as nações com

maior poderio tecnológico são as que mais sofrerãocom uma possível guerra por possuírem uma maiordependência da tecnologia, porém são elas mesmasque estão promovendo essa disputa “tecno armamen­tista”.

ARTIGO Segurança Digital

|18

Julio Carvalho

Graduado em Redes de Computadorese Pós Graduado em Auditoria e Segu­rança de Sistemas pela UniversidadeEstácio de Sá, Especialista em CódigosMaliciosos e Sistemas de Correio Ele­trônico, com mais de 10 anos de experi­ência em Infraestrutura e Segurança deambientes, com certificações em produ­tos da linha Lotus/IBM e Trend Micro.

Linkedin: http://br.linkedin.com/in/julioinfoEmail: julioinfo@gmail.com

SSttuuxxnneettO Stuxnet foi o primeiro worm de computador

a incluir um rootkit de CLP. Também é o primeiroworm conhecido a ter como alvo infraestrutura in­dustrial crítica. Diversas mídias caracterizaram oStuxnet como um vírus de computador sofisticadoe complexo.

MMoobbiilliiddaaddeeNão é de agora que os dispositivos móveis tem

ganho a atenção da mídia e principalmente dosusuários. Cada vez menores e com mais recursos evelocidade de processamento, eles tem se tornadouma opção vantajosa para ter acesso a informa­ções digitais. A tendência de crescimento é expo­nencial e a possibilidade de ter acesso ao ambientee as informações empresariais faz com que muitaspessoas comecem a tê­los como “computador”principal em detrimento do desktops e notebooks.Este é um trecho do artigo de Luiz Felipe 3ª edi­ção novembro da Revista Segurança Digital. Cadavez mais utilizados e presentes no dia­a­dia os dis­positivos moveis agora estão na mira dos crimino­sos virtuais, então não pense que só por ser um"celular/smartphone" você esta seguro ao utilizá­lo.

Março 2012 • segurancadigital.info

Logo que a 4ª edição da Revista Segurança Di­gital foi lançada, em janeiro passado, fui surpreen­dida com pedidos de leitores para elaboração de

um artigo sobre o profissional de Direito Digital, os ca­minhos que devem ser trilhados, as dificuldades encontra­

das e a obtenção de informações a respeito.

O domínio do conhecimento no assunto ainda pas­sa longe do alcance da grande maioria dos profissio­nais, isso ocorre por alguns motivos:O primeiro deles, é o acesso acadêmico à matéria.

A grande maioria dos cursos de Direito não aborda adisciplina do Direito Eletrônico, ou preferencialmen­te chamado por algums por Direito de Informática,ou por outros como Direito Digital, Direito da Socie­dade da Informação, Direito da Tecnologia da Infor­mação, dentre outras denominações.Além disso, a produção doutrinária, que já foi es­

cassa, tem crescido bastante no tocante à matéria,mas ainda não percebe­se uma formação doutrináriauniforme, que fundamente a existência ou criação deum novo ramo do Direito.Existe, sim, influência das tecnologias em diver­

sos ramos clássicos do Direito. Porém, ainda não estáconsolidada a doutrina que trate de maneira uniformea matéria do “Direito material Eletrônico” e do “Di­reito Processual Eletrônico”, o que não significa di­

zer que para a matéria ser reconhecida como umramo autônomo do Direito, deva ser estudada seguin­do a mesma linha de pesquisa que as outras matériastradicionais seguem.A verdade é que reconhecendo ou não como ramo

autônomo do Direito, o Direito Eletrônico encontra­se tão intrinsecamente ligado a outros ramos do Di­reito, que não estudá­lo com mais profundidade cul­minaria na negligência de considerações essenciaisao Direito e aos ramos do Direito atingidos pelas tec­nologias, o Direito Penal e o Direito de Autor comoexemplos.Enquanto profissional que abraçou a matéria do

Direito Eletrônico no desempenho das atividades la­borais diárias, reconheço inúmeras dificuldades, den­tre elas a busca em desenvolver a matéria na regiãoNordeste do Brasil, que já é nacionalmente reconhe­cida como pólo tecnológico, com suas empresas deTecnologia da Informação. O grande desafio é trazereste reconhecimento também para os profissionaisque atuam nas questões que envolvem Direito e Tec­nologia na região.São Paulo e Rio de Janeiro já contam com grandes

bancas de advogados especializados na influênciadas tecnologias sobre o Direito.Mas o que de fato constitui o diferencial destes

|19

Direito

&TI–osdesafiosdo“n

ovo

profissionaldodireito”em

2012

O que você precisa saber paradar o pontapé inicial na suacarreira de advogado atuantecom as questões de Tecnologiada Informação

CARREIRAS:DIREITO & TI

Março 2012 • segurancadigital.info

profissionais que se dedicam ao estudo de uma maté­ria tão pouco divulgada diante de tantas outras oportu­nidades que o Direito possui? A possibilidade deinovar e de fazer parte da criação de uma doutrina na­cional sobre o assunto.Poucas são as áreas do Direito que ainda possuem

espaço para absorverem tal nível de inovação.Ao mesmo tempo, inovação exige um perfil empre­

endedor do profissional, que aposta num ramo aindaem desenvolvimento no mercado nacional, e que semostra bastante promissor.Por isso, aproveitando a oportunidade que tenho

para falar de minhas próprias experiências no ramo,indico que os interessados busquem, além da leituradoutrinária, essencial à formação científica do pesqui­sador, cursos especializados na área do Direito e Tec­nologia da Informação.Estes cursos acabam por dar o impulso inicial na

formação científica do profissional, estabelecendocontato com professores que além de doutrinadoresno assunto, são profissionais de sucesso da área, alémde pôr o aluno em contato com o que há de produçãodoutrinária no assunto.

Dentre os cursos especializados em Direito e Tec­nologia da Informação existentes no Brasil, seguemalgumas sugestões:

ARTIGO Segurança Digital

|20

Lígia Barroso

Advogada, atuante em Direito Eletrônico ePropriedade Intelectual. Mestranda em Di­reito da Propriedade Intelectual na Univer­sidade de Lisboa (FDUL), Especialista emDireito Eletrônico e Tecnologia da Infor­mação pelo Centro Universitário da Gran­de Dourados (UNIGRAN).

Email: ligiabarroso@hotmail.comTwitter: @ligiaabarroso

Especialização em Direito e Tecnologia da In­formação – Escola Superior da Advocacia ESA –SP (mais informações em:http://esaoabsp.edu.br/Curso.aspx?Cur=229)

Curso de Curta Duração em Direito da Tecno­logia da Informação – Universidade de FortalezaUNIFOR (mais informações em:http://www.unifor.br/index.php?option=com_content&view=article&id=3385&Itemid=1408)

MBA em Direito Eletrônico – Escola Paulistade Direito (mais informações em:http://www.epd.edu.br/cursos/pos­graduacao/mba­em­direito­eletronico)

Especialização em Direito Eletrônico e Inteli­gência Cibernética – Faculdade Especializada emDireito FADISP (mais informações em:http://www.fadisp.com.br/posgraduacao.php?pagina=cursos_direito_eletronico)

Pós Graduação em Direito da Tecnologia da In­formação – Fundação Getúlio Vargas FGV (maisinformações em:http://www5.fgv.br/fgvonline/InternaInternaCurso.aspx?prod_cd=DTIEAD_00)

Mestrado Científico em Direito Intelectual –Universidade de Lisboa FDUL (mais informaçõesem:http://www.fd.ul.pt/CursosAlunos/MestradoCientifico/201112/DireitoIntelectual.aspx)

Mestrado em Direito das Telecomunicações eTecnologia da Informação – Universidad CarlosIII de Madrid (mais informações em:http://www.uc3m.es/portal/page/portal/postgrado_mast_doct/masters/Master_en_Derecho_de_las_Telecomunicaciones_y_TI)

Para os curiosos do assunto e que desejam lermais a respeito do assunto Segurança e Internet,segue link com uma lista de vários blogs especiali­zados no assunto, fornecidos pelo leitor Moises deOliveira Cassanti:http://sseguranca.blogspot.com/2011_10_01_archive.html

Março 2012 • segurancadigital.info

IInnttrroodduuççããooO DNS é um dos principais serviços de infraestru­

tura da internet. Entretanto, na época que foi criadonão havia uma preocupação com a segurança, tornan­do­o vulnerável a vários tipos de ataques, que usamdados falsos para redirecionar o tráfego da Internet pa­ra sites fraudulentos e endereços indesejados. A exten­são DNSSEC provê a segurança necessária paramitigar esses ataques.

OO qquuee éé DDNNSS??Antes, precisamos conhecer o DNS (Domain Na­

me System). É um sistema usado em redes TCP/IP pa­ra a organização e identificação de domínios. Elefornece um nome para um ou mais endereços IP deum domínio, facilitando a memorização de URLs eendereços de e­mail. Sem o DNS, seria necessário di­gitar números para cada visita a um site, pois os com­putadores e outros dispositivos usam endereços IPpara se comunicarem e se identificarem na rede mun­dial.O DNS armazena um registro de cada domínio

existente, definindo o IP (ou vários IP’s) do servidorde hospedagem. Por questões de segurança e tambémdevido ao crescente tráfego da internet, decidiu­seque a estrutura seria hierárquica e descentralizada(distribuída globalmente). Não há somente um único

ponto central com as informações de todos dos domí­nios do planeta, o que facilitaria ataques direcionadosvisando um “apagão” da internet.A descoberta dos servidores que respondem por

um domínio é chamado de resolução do nome ou re­solução de domínio. Resumidamente inicia­se porum servidor DNS primário que aponta outro secun­dário e assim sucessivamente.

SSeerrvviiddoorr rraaiizzO servidor DNS que está no topo da internet é o

servidor raiz, conhecido também como root server.Possui uma pequena tabela que indica qual DNS seráresponsável pela resolução dos domínios para cadaextensão de domínio (Top Level Domain) diferente.Os Top Level Domains são de dois tipos: gTLDs(Generic Top Level Domains – domínios genéricoscomo .edu, .com, .org, etc.. ) e ccTLDs (Country Co­de Top Level Domains – extensões de domínios ad­ministrados pelos países). Como exemplo deccTLDs, a Registro.br responde pelos domínios .br,já para gTLDs podemos citar a Verisign como res­ponsável pelos domínios .comExistem 13 servidores DNS raiz lógicos (conheci­

do por uma letra do alfabeto, de A a M), e centenasde servidores físicos no mundo todo (inclusive noBrasil) controlados por várias empresas e organiza­

|21

DNSSEC-Oantídoto

contraosataques

DNS

Março 2012 • segurancadigital.info

DDNNSSSSEECCInfelizmente o sistema DNS apresenta determina­

das vulnerabilidades usadas principalmente em ata­ques de phishing, desviando a navegação para umdomínio maliciososem o consentimento(e o conhecimento)do usuário. Os doisexemplos mais re­correntes de ataquessão o DNS Spoofing(também conhecidocomo DNS Cachepoisoning) e o Man­In­The­Middle. Umdos maiores proble­mas existentes é queesses ataques são ex­tremamente difíceisde serem detectadose na pratica impossí­vel de serem preve­nidos.O DNSSEC (Domain Name System Security Ex­

tension ) é uma extensão criada pelo IETF (InternetEngineering Task Force) que adiciona recursos de se­gurança ao DNS com o intuito de tornar esses ataques

detectáveis, validan­do os dados e garan­tindo a origem dasinformações.Note no gráfico

abaixo que não é deagora que essa exten­são vem sido discuti­da. Em 2010 oDNSSEC foi imple­mentado nos root­servers. Alguns do­mínios chave como.gov, .org, .edu e .netpassaram a estar ap­tos para utilizar a ex­tensão. Uma boanotícia é que a Regis­tro.br já iniciou a im­plementação nosdomínios jus.br e

b.br. Para esses, o DNSSEC é de uso obrigatório, pa­ra os demais ainda é opcional. Você pode testar o usodigitando a URL www.seubanco.b.br

ARTIGO Segurança Digital

|22

ções como a Verisign e a ICANN. A figura abaixo mostra a localização deles ao redor do planeta.

Localização dos Root Servers no mundo. Photo by Google Maps. Taken

FROM www.root­servers.org

O DNSSEC utiliza a famosa tecnologia de cripto­grafia assimétrica que utiliza um par de chaves, umapública e uma privada. Cada zona retorna as consul­

Histórico do DNSSEC. Photo by VeriSign.

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

|23

tas DNS com assinaturas digitais. A confiança do cli­ente nessas assinaturas é baseada numa cadeia de con­fiança (chain of trust) estabelecida através da raiz atéo topo da hierarquia. Assim, é possível que toda a ca­deia com acesso a chave pública verifique a integrida­de dos dados transferidos. A figura a seguirexemplifica melhor o funcionamento:

O DNSSEC funciona melhor quando implementa­do em toda a cadeia. Embora a infraestrutura do DNSjá esteja preparada, a adoção ao DNSSEC tem sidolenta pelas ISP’s e empresas. No momento, na área dee­commerce somente o PayPal já começou a assinarseus domínios.A Verisign estima que há somente 5.500 domínios

.com assinados e 2.000 domínios .net de um total de112 milhões de domínios registrados, o que é muitopouco. Nem mesmo as agências americanas aderiramtotalmente ao DNSSEC..É possível testar se determinado site já usa o DNS­

SEC usando o DNSSEC Analyzer da Verisignhttp://dnssec­debugger.verisignlabs.com/

RReeffeerrêênncciiaass

http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

http://www.isc.org/software/bind/dnssec

http://www.verisigninc.com/pt_BR/why­verisign/innovation­initiatives/dnssec/overview/index.xhtml?loc=pt_BR

http://registro.br/suporte/faq/faq8.html

http://webinsider.uol.com.br/2007/10/13/o­que­e­dns­e­dnssec­bem­explicadinho/

http://www.networkworld.com/news/2012/011812­dnssec­outlook­255033.html?page=1

Como funciona o DNSSEC. Photo by F5 Networks.

Luiz Felipe Ferreira ­ (Editor Chefe)

No mercado da TI há 9 anos, trabalhandocom Segurança da Informação desde2006. Atualmente trabalha no setor de ITSecurity da TV Globo. Graduado emProcessamento de Dados pela UniverCi­dade e com MBA de Gestão de Projetose Negócios de TI pela UERJ. Possui cer­tificações ITIL, VCP, LPI Level 1 eMCP.

Email: lfferreira@gmail.comBlog: br.linkedin.com/in/luizfelipeferreiraTwitter: @lfferreiras

Março 2012 • segurancadigital.info

Janeiro 2012 • segurancadigital.info|01

11.. IInntt rroodduuççããooAmaioria das organizações de médio e grande por­

te possui uma grande quantidade de informações críti­cas, sensíveis e até mesmo confidenciaisarmazenadas em bancos de dados. Apesar de os servi­dores de banco de dados estarem geralmente na redeinterna destas organizações, protegidos por firewallse outros mecanismos de defesa, muitas aplicaçõesacessíveis pela Internet possuem acesso a estes servi­dores. Estas aplicações recebem entradas de dados eas utilizam para realizar consultas nos servidores deBD. Quando a aplicação não valida ou trata correta­mente a entrada de dados, um atacante pode conse­guir modificar as consultas realizadas pela aplicaçãopara realizar diversas atividades maliciosas, incluindoburlar o controle de acesso, obter dados sensíveis eaté mesmo alterar dados armazenados. Este tipo defragilidade em aplicação é conhecido como “Injecti­on”, e sem dúvida as falhas do tipo “SQL Injection”estão entre as mais divulgadas e exploradas.Vulnerabilidades de “SQL Injection” têm sido am­

plamente exploradas há alguns anos por atacantes erecebido há muito tempo destaque em sites, livros erevistas de segurança. O que muitos profissionais deTI e até mesmo alguns de segurança desconhecem éque as falhas de “Injection”, ou de injeção de código,não se resumem a SQL, podendo existir em diversos

protocolos e linguagens de programação. Só para ci­tar alguns exemplos mais documentados existem:“XPath Injection”, “LDAP Injection”, “SOAP Injec­tion” e até mesmo “SMTP Injection”.Neste artigo, iremos abordar as falhas de “LDAP

Injection” devido à criticidade que este tipo de vulne­rabilidade está ganhando nos sistemas corporativos.As organizações estão cada vez mais utilizando osserviços LDAP para diversos propósitos, funcionan­do como um repositório central de informações.Existe, especialmente, uma forte tendência do uso deserviço LDAP para autenticação de usuários e parasuportar ambientes com “single sign­on”. Devido aocrescente uso de LDAP para autenticação e para ar­mazenar outros tipos de dados, provavelmente os ata­ques utilizando LDAP Injection tenderão a aumentar.Para que os profissionais de TI e de segurança este­jam devidamente preparados para evitar este tipo defragilidade e se proteger deste tipo de ataque é vitalentender como os ataques de LDAP Injection funcio­nam.

22.. CCoommoo FFuunncc iioonnaa oo AAttaaqquueeO LDAP (Lightweight Directory Access Protocol)

é um protocolo para realizar consultas e modifica­ções em serviços de diretório através do protocoloTCP/IP. Os serviços de diretório LDAP armazenam e

|25

LDAP

Injection

–ComoFu

ncio-

naoAtaqueeComose

Proteger

Março 2012 • segurancadigital.info

organizam informações que possuem atributos em co­mum. A estrutura de armazenamento utiliza o concei­to de árvore de entradas de diretório. Nesta estruturahierárquica, as operações de leitura são realizadascom maior velocidade com prejuízo para as opera­ções de escrita. Baseia­se em orientação a objetos, noqual cada entrada no serviço de diretório correspondea uma instância de um objeto e precisa compartilharos mesmos tipos de atributos deste objeto.Ao se utilizar LDAP, a operação mais comum é a

consulta por entrada de diretório através de filtros. ARFC 4515 define os filtros utilizados no LDAP, quepodem incluir, especialmente, expressões lógicas(AND ­ &, OR ­ |, NOT ­ !) e tipos de filtros (igual =,aprox. ~=, maior ou igual >=, menor ou igual =<),bem como o caractere * para aceitar múltiplos caracte­res em um filtro. A RFC 4526 define as strings (&) e(|) como verdadeiro (TRUE) e (FALSE), respectiva­mente. Caso ainda não esteja familiarizado, veja umexemplo básico de consulta LDAP:

[a query acima, por exemplo, seria utilizada para vali­dar um usuário e senha]

O conceito básico de uma exploração de LDAP In­jection é manipular os parâmetros enviados pelo clien­te para a aplicação, os quais serão utilizados paraconstruir a consulta (query) LDAP. Quando a aplica­ção é vulnerável, a entrada de dado não sofre valida­ção ou tratamento para impedir que os dados entradospossam modificar a estrutura ou lógica da queryLDAP. Os estudos de caso nos próximos itens irãoexemplificar este tipo de ataque.É importante destacar que as diversas implementa­

ções LDAP validam e tratam a sintaxe LDAP de for­ma ligeiramente diferente. Algumas implementaçõestoleram até mesmo sintaxes inválidas. Isto influenciadiretamente nos ataques de LDAP Injection e o ata­cante precisa levar isto em consideração para ter su­cesso. Isto significa que uma sintaxe LDAP quefunciona em uma aplicação pode não ser funcionalem outra aplicação vulnerável.

33.. EEssttuuddoo ddee CCaassoo 11:: MMaanniippuu llaannddoo PPeessqquui­i­ssaa ddee UUssuuáárr iiooConsidere uma aplicação que permite digitar o no­

me de um único usuário (ex. MARCOS) e retorna so­mente as seguintes informações: nome do usuário,

número de telefone e departamento. Veja como pode­ria ser esta requisição LDAP:

O resultado desta query poderia retornar as seguintesinformações:

Imagine que o atacante deseja obter a senha dousuário “MARCOS”. Ele poderia utilizar o seguinteataque: MARCOS); userPassword,cn;. Isto resulta­ria na seguinte requisição LDAP:

O atacante pode melhorar o ataque e obter umalistagem das senhas de todos os usuários da aplica­ção: *); userPassword,mail,cn;.

44.. EEssttuuddoo ddee CCaassoo 22:: BBuurr llaannddoo AAuutteenntt ii cca­a­ççããooConsidere uma aplicação que realiza autenticação

em uma base LDAP. Esta aplicação solicita informa­ção de usuário e senha para autenticação, construindoa seguinte query LDAP:

Um atacante poderia inserir os seguintes dados:

A query LDAP final seria:

ARTIGO Segurança Digital

|26

(&(cn=admin)(userPassword=senha))

(givenName=MARCOS);cn,telephoneNumber,department

(givenName=MARCOS);userPassword,cn;);cn,telephoneNumber,department

(givenName=*);userPassword,mail,cn;);cn,telephoneNumber,department

(&(uid=username)(userPassword=pwd))

Usuário: admin)(&)Senha: qualquercoisa

(&(uid= admin)(&))(userPassword=qualquercoisa))

Março 2012 • segurancadigital.info

Apenas o primeiro filtro será processado e como aconstante (&) significa absolutamente verdadeiro, es­ta query sempre será verdadeira. Neste caso, o atacan­te poderia se autenticar como o usuário “admin” naaplicação.Existem outras formas de realizar ataques para bur­

lar autenticação. Veja outro exemplo:

A query LDAP final seria:

Esta query terá uma sintaxe correta e será sempreverdadeira, permitindo que o atacante se autentiquecomo o primeiro usuário da árvore LDAP.

55.. EEssttuuddoo ddee CCaassoo 33:: AAcceessssaannddoo DDooccu­u­mmeennttooss RReesstt rr ii ttoossImagine uma aplicação que oferece acesso a docu­

mentos de diferentes departamentos da organização eque permite apenas consulta de documentos classifica­dos como “públicos” para usuários com permissão“public” e permite consulta de documentos classifica­dos como “confidenciais” para usuários com permis­são “confidential”. Por exemplo, a seguinte URL éutilizada para acessar documentos:

Considere que esta aplicação utiliza a seguintequery LDAP para listar os documentos de acordocom a permissão de acesso:

Para acessar os documentos confidenciais, o ata­cante poderia colocar os seguintes dados na URL:finance)(security_level=*))(&(directory=financeIsto resultaria na seguinte query LDAP:

O servidor LDAP processaria apenas o primeirofiltro, ignorando o segundo. Neste caso, apenas o se­

guinte filtro seria processado: (&(directory= finan­ce)(security_level=*)). Assim, o atacante conseguiriaacessar todos os documentos financeiros, incluindoos marcados como “confidenciais”.

66.. EEssttuuddoo ddee CCaassoo 44:: EEffeettuuaannddoo BBll iinnddLLDDAAPP IInn jjeecctt iioonnMuitas vezes a aplicação não retorna mensagens

de erro detalhadas mostrando a sintaxe LDAP emuso. Nestes casos, o atacante precisa utilizar técnicasde inferência para determinar a existência de atribu­tos e valores. Considere uma aplicação que permitelistar informações de ativos de TI da organização:

A seguinte query seria utilizada pela aplicação:

Após realizar esta consulta LDAP, a aplicação re­torna informações sobre o servidor como endereço IPe administrador responsável.

Imagine que um atacante estivesse interessado emdescobrir atributos adicionais para obter mais infor­mações sobre o servidor, que não são reveladas pelaaplicação, como, por exemplo, sistema operacional elocalização física. Neste caso, o atacante teria que fa­zer testes de inferência para descobrir nomes de atri­butos adicionais. Como um teste inicial, o seguintevalor poderia ser colocado no parâmetro “idserver”:sysxpto)(invalido=*). A seguinte consulta LDAP se­ria formada:

A aplicação provavelmente apresentaria uma pági­na sem informações ou apresentaria alguma mensa­gem de erro. Em seguida, o atacante poderia testarum atributo mais provável: sysxpto)(ipaddress=*),para formar a seguinte consulta:

ARTIGO Segurança Digital

|27

Usuário: *)(uid=*))(|(uid=*Senha: qualquercoisa

(&(uid=*)(uid=*))(|(uid=*)(userPassword=qualquercoisa))

http://appvulneravel.intranet.com/lista_documentos.aspx?caminho=finance

(&(directory=finance)(security_level=public))

(&(directory=finance)(security_level=*))(&(directory=finance)(security_level=public))

http://appvulneravel.intranet.com/lista_servidores.aspx?idserver=sysxpto

(&(idserver=sysxpto)(objectclass=server))

(&(idserver=sysxpto)(invalido=*))(objectclass=server))

(&(idserver=sysxpto)(ipaddress=*))(objectclass=server))

Março 2012 • segurancadigital.info

Assumindo que o nome de atributo ipaddress exis­te, a aplicação retornaria normalmente as informa­ções sobre o servidor sysxpto. Para descobriratributos adicionais, o atacante poderia utilizar umscript que automatize tentativas utilizando um dicio­nário de possíveis atributos, interpretando a respostacomo VERDADEIRA quando a aplicação retorna in­formações e FALSA quando a aplicação não retornainformações.

E o que dizer de valores de atributos? Um atacantepode extrair valores através de buscas por conjuntosde caracteres (pode até mesmo utilizar a tabela AS­CII). Imagine que o atacante deseja extrair o valor doatributo location do servidor sysxpto. Um script pode­ria começar testando a primeira letra do atributo fa­zendo uma busca alfabética:

O mesmo teste anterior se aplica aqui. Quando aaplicação retorna uma resposta com informações, oscript determina que o caractere testado está correto,e quando a aplicação não retorna informação, o scriptdetermina que precisa continuar a busca. Veja agora oexemplo abaixo:

Se o script receber uma resposta com informações,a localização certamente começa com “ri” e a buscapode continuar a partir da 3ª posição. É possível utili­zar uma técnica conhecida como “charset reduction”para aumentar a velocidade de obtenção de valores.Por exemplo, o seguinte teste pode ser utilizado paraverificar se a letra “j” existe em alguma posição no

atributo location:

Estes exemplos não deixam dúvida de que atacan­tes não precisam necessariamente de mensagens deerro ou de informações detalhadas da aplicação paraextrair informações através de LDAP Injection.

77.. CCoommoo EEvv ii ttaarrPara evitar falhas de LDAP Injection, deve­se tra­

tar todas as entradas de dados da aplicação, especial­mente, as entradas de dados que serão utilizadas emconsultas LDAP. É importante destacar que a melhorabordagem de validação de entrada de dados é aabordagem “white­list”, onde apenas os tipos de da­dos estritamente necessários são aceitos. Isto podeser feito através de expressões regulares de negaçãopor padrão. Por exemplo, pode­se aceitar apenas va­lores numéricos ou alfanuméricos em uma entrada dedado.Deve­se, sempre, validar e tratar a entrada de da­

dos no lado servidor (exs. código .NET, Java ouPHP), não apenas no lado cliente (ex. através de Ja­vaScript). Em especial, parênteses )(, asterisco *,operadores lógicos (&, |, !) e operadores relacionais(=, ~=, >=, =<) devem ser rejeitados ou tratados pelaaplicação. Em alguns casos, pode ser necessário in­cluir estes caracteres em consultas LDAP. Se este foro caso, utilize a técnica de “escaping” para evitar queo interpretador LDAP considere estes caracteres co­mo parte da query LDAP. O OWASP (Open Web Ap­plication Security Project) mostra como realizar“escaping” destes caracteres em Java:

Como medida de proteção adicional, é importanterealizar configurações de controle de acesso no servi­dor LDAP. A aplicação web deve ter o mínimo deprivilégio requerido ao se conectar no servidorLDAP e permissão de escrita deve ser concedida ape­nas quando estritamente necessário.

ARTIGO Segurança Digital

|28

(&(idserver=sysxpto)(location=*))(objectclass=server))(&(idserver=sysxpto)(system=*))(objectclass=server))(&(idserver= sysxpto)(os=*))(objectclass=server))...

(&(idserver=sysxpto)(location=a*))(objectclass=server))(&(idserver=sysxpto)(location=b*))(objectclass=server))(&(idserver=sysxpto)(location=c*))(objectclass=server))…

(&(idserver=sysxpto)(location=ri*))(objectclass=server))

(&(idserver=sysxpto)(location=*j*))(objectclass=server))

https://www.owasp.org/index.php/Preventing_LDAP_Injection_in_Java

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

|29

LDAP Injection & Blind LDAP Injection in Web Applications ­ Chema Alonso, Rodolfo Bordón,Antonio Guzmán y Marta Beltrán

LDAP Injection – Are your web applications vulnerable? – SPI Dynamics

The Web Application Hacker’s Handbook – Discovering and Exploiting Security Flaws – DafyddStuttard and Marcus Pinto

OWASP (The Open Web Application Security Project) ­ Testing for LDAP Injection

RFC 4515 ­ Lightweight Directory Access Protocol (LDAP): String Representation of SearchFilters

RFC 4526 ­ Lightweight Directory Access Protocol (LDAP) Absolute True and False Filters

88.. RReeffeerrêênncc iiaass

Bruno Cesar Moreira de Souza

Sócio e Diretor Técnico da Able Se­curity, CISSP desde Jan/2007,OSCP, GCFE, Bacharel em Siste­mas de Informação pela PUC­Rio,com mais de 11 anos de experiênciaem segurança da informação, espe­cialista em testes de intrusão e perí­

cia forense computacional. Tem prestado consultoria paraorganizações de diversos segmentos, no Brasil e no ReinoUnido.

E­mail: bruno.souza@ablesecurity.com.brSite: http://www.ablesecurity.com.br

Março 2012 • segurancadigital.info

Se você é ligado em seriados policiais, filmes envol­vendo investigações ou coisa parecida, até mesmoo CSI já deve ter visto profissionais fazendo análi­

ses e outros procedimentos minuciosos em busca de infor­mações e extraindo dados importantes que nem seimaginava que pudesse encontrar, essa extraordinária ciên­cia é chamada de pericia. Apesar de muita coisa não pas­sar de ficção, há alguns casos espelhados na vida real.Mas sim vamos sair um pouco da ficção e entrar

na realidade dos fatos, bem até então dei a ideia doque é termo pericia, como você deve saber existemvários tipos de pericias e nesse caso a ser abordadoaqui é a pericia digital ou como é conhecida tambémde forense computacional onde esta se faz cada vezmais conhecida e de suma importância devido o au­mento de crimes praticados por meio do uso dos re­cursos computacionais pela própria disponibilidadede uma conexão à Internet e o uso de programas decomputador, além do suposto anonimato encontrado,em muitos casos, é suficiente para permitir a qual­quer indivíduo experimentar variadas condutas crimi­nosas que você certamente já está cansado deobservar pela mídia. Dentre os casos mais comuns es­tão roubo de informações confidenciais, ataque de ne­gação de serviços, espionagem, transmissão de fotose vídeos de pedofilia entre outros.Portanto assim como no caso de crimes comuns, o

combate aos crimes cibernéticos requer a existênciade evidências e provas de sua existência, que permi­tem o pleno convencimento do suposto ato e com is­so possibilitando punição das condutas criminosas. Apartir disso surgi a figura do profissional em periciadigital sendo responsável por descobrir evidênciasem sistemas computacionais, em periféricos e dispo­sitivos de armazenamento.

Pois bem para realizar essa missão eles fazem usode diversos equipamentos especiais.Conheça agora um pouco do muito que esses pro­

fissionais são capazes de fazer. Bem­vindos à políciada era digital.Você acha que ao apagar qualquer informação co­

mo fotos, conversas do chat, páginas acessadas na in­ternet ou formatar o HD estão definitivamenteexcluídos e as mensagens confidenciais do celular etambém esconder ou proteger com senha as informa­ções, você pensa que ninguém vai conseguir ter aces­so. É pensando assim para pessoas comuns isso tudopode fazer parte da realidade delas. Mas para um pe­

|30

Pericia

Digital:Conheçaaarteda

investigaçã

o"digital"

Em edições passadas da Revista Segu­rança Digital, tivemos casos reais deforense, e até mesmo um artigo referente aocurso de forense digital oferecido pela 4Linux.Recomendo a leitura das edições passadas...

QQuuaannddoo oo aassssuunnttoo éébbuussccaarr eevviiddêênncciiaass eelleessssããoo uunnss vveerrddaaddeeiirroosseexxppeerrttss nnoo aassssuunnttoo

“O perito digital será a função indispen­sável a justiça, tal como o advogado,pois através dele inocentes não serão

condenados e culpados não serão absolvidos.”

Perto

delesning

uém

tem

nada

aes

cond

er

Março 2012 • segurancadigital.info

rito digital as coisas são completamente diferentes,perto deles ninguém tem nada a esconder.Veja algumas das suas tarefas a seguir.Nota: Primeiramente cabe lembrar que peritos digi­

tais só podem extrair dados com a autorização préviado dono ou com mandado judicial, pois caso contrá­rio é crime.

RReeccuuppeerraaççããoo ee eexxtt rraaççããoo ddee ddaaddooss

HHDDFoi se o tempo que formatando o HD não fosse

possível recuperar nada. Na verdade um arquivo só éapagado quando uma nova informação é escrita em ci­ma do espaço que ele ocupava antes no disco. Mas,mesmo assim, para que não seja possível recuperar astais preciosas informações, os peritos dizem que serianecessário regravar ou formatar um disco por 25 ve­zes, utilizando técnicas variadas.Em computadores, existe uma série de ferramentas

que ajuda na perícia digital. Umas já cumprem o pa­pel de vários recursos durante todas as fazes dos exa­mes forenses, possibilitando fazer um raio­xcompleto da máquina como recuperação de arquivos,e­mails, visualização de vários formatos diferentes dearquivos, programas que já foram instalados entre ou­tras funcionalidades. Entre as ferramentas podemos ci­tar o Encase, FTK e o Helix.

MMeemmóórr iiaa RRAAMMA memória RAM, sabemos que ela é volátil, isto

é, todo o seu conteúdo é perdido ao desligar o compu­tador, o que muitos não sabem é que todo tipo de in­formação passa por ela desde senhas digitadas, umaconversa no chat e assim por diante, mas mesmo apóso desligamento ou reiniciar a máquina ainda sim épossível ter acesso a essas informações que podem fa­zer toda diferença sobre o delito questionado.Entre as técnicas utilizadas para conseguir ter aces­

so às informações está no que eles chamam de Dump(Cópia integral) da memória, umas das ferramentasque cumprem esse papel pode­se citar o ComputerOnline Forensic Evidence Extractor (COFEE).

CCeelluu llaarrEm uma pericia quando o assunto é celular exis­

tem diversas ferramentas que possibilitam ter acessoa todas as informações do celular desde mensagens,fotos, músicas, agendas e até mesmo aquilo que já foiapagado pelo usuário. Umas das soluções é o Cellebri­

te, que tem mais de cem cabos integrados e organiza­dos em uma maleta, compatíveis com diversosequipamentos móveis como mostrado logo abaixo.

Outra solução é o software Mobiledit Forensicque pode realizar extrações dos dados do celular.

DDaaddooss ooccuull ttoossJá faz parte dos artifícios dos cibercriminosos ca­

da vez mais experientes não deixar informações aces­síveis, em muitos casos é comum o perito encontrardados criptografados ou ainda um pouco mais avan­çados utilizarem a técnica de esteganografia que jádei uma base sobre esse assunto na 3ª edição da re­vista.O processo de acesso a informações nesses tipos

de estados é possível através da análise do hexadeci­mal do arquivo e identificar caracteres que não cor­respondem a uma imagem e com base nisso descobrironde foi lançada a senha da esteganografia e entãozera­la em hexadecimal e, portanto descobrindo oconteúdo oculto sem precisar descobrir qual é a se­nha de fato. E falando sobre senhas hoje existemmuitos programas para quebra de senha, vale lembrarquanto mais fácil for a senha mais rápida será que­brada.

ARTIGO Segurança Digital

|31

MMuuddaannddoo ddee aassssuunnttoo

Você sabia? Que todo dispositivoUSB como o pen drive possuiuma identificação única e esta in­formação fica registrada nos com­

putadores quando é plugado. Por exemplo, se open drive foi conectado a um computador Win­dows e depois em um Linux, em uma análise seráencontrado a mesma identificação do pen drivenos dois equipamentos. Um exemplo de ferramen­ta que permite ver essa identificação é o softwareUSB Deview.

Março 2012 • segurancadigital.info

Já em contagem regressiva este artigo está chegan­do ao fim, aqui apenas passei um pouco do que é a pe­ricia digital. Pela qual é uma área que está sendo bemmais procurada devido as infinitas irregularidades pra­ticadas por meio dos recursos computacionais e a pro­cura por profissionais capazes de encontrarem aspistas e provas necessárias para condenar os responsá­veis por estes crimes é urgente.Gostou da área? Logo abaixo estão algumas instru­

ções para ser um profissional. É claro que existemmuitas outras em nível de especialização e treinamen­to, agora nível de mestrado não, pelo menos aqui noBrasil.

NNíívveell PPóóss GGrraadduuaaççããoo LLaattoo SSeennssuu::­Pericia Digital na UCB (Universidade Católica de

Brasília)­Computação Forense na Mackenzie.

MMeesstt rraaddoo::Engenharia Elétrica, área de concentração: Infor­

mática Forense e Segurança da Informação na UNB(Universidade de Brasília).

TTrreeiinnaammeennttoo::Legaltech­Consultoria,Pericia Digital e Treinamen­

to.

LLiivvrroo rreeccoommeennddaaddoo::Desvendando a Computação Forense de Pedro

Eleutério e Marcio Machado, Peritos Criminais Fede­rais da Policia Federal. É uma ótima obra e de lingua­gem clara sobre o assunto.

RReeffeerrêênncc iiaassELEUTÉRIO, Pedro. M.S; MACHADO, Márcio.

P. Desvendando a computação forense. São Paulo:Novatec, 2010.

Vídeo ­ A arte da pericia digital

ARTIGO Segurança Digital

|32

RReessuummoo

Em resumo a pericia digital ou forense compu­tacional tem como principal objetivo identificação,preservação, coleta, interpretação e documentaçãode evidências digitais.

Evidência digital, pode ser compreendida pelainformação armazenada e/ou transmitida em for­matos ou meios digitais. Na sua grande maioria o“conteúdo” de uma evidência, é frágil e volátil, oque requer à atenção de um especialista certificadoou capacitado a fim de garantir que os materiais devalor probatório possam ser efetivamente isoladose extraídos de forma correta e licitamente.

Uma pericia mal executada pode comprometertodo o processo, desde, a coleta dos dados atéapresentação e documentação destes. Paraexemplificar, vamos pegar o exemplo de umDump de memória. Um perito tem como objetivocoletar informações de uma possível cena de crimedigital, este por sua vez executa diversos softwaresna máquina antes mesmo de realizar o Dump dememória. Qual o problema disso? Este “perito”provavelmente esta “sobrescrevendo” partes damemória RAM (volátil) que poderiam conterinformações essenciais a investigação. Em umacena como esta o Dump de memória é a primeiraatividade a ser executada.

Nágila Magalhães

Graduada em Tecnologia em Redes deComputadores pela FCAT. Apaixonada portecnologia e ciberespaço, com conhecimen­to nas áreas de segurança computacional ecomputação forense pelo qual tenho enormeinteresse e admiração. Atualmente atuandocomo colaboradora das Revistas SegurançaDigital e Espírito Livre.

E­mail: nagilamagalhaes@gmail.comTwitter: @netnagila

Crescimento ­ A pericia forense é uma área que temcrescido muito nos últimos anos. E com o surgimentocada vez mais acelerado de novas tecnologias, estecrescimento será sempre ascendente.

Março 2012 • segurancadigital.info

Resumindo em poucas palavras, o OpenStack é umsoftware para construção de nuvens públicas e pri­vadas, de fácil implementação, massivamente es­

calável e rico em recursos. Este, por sua vez, é umainiciativa do Hackspace e NASA, criada em julho de2010.As qualidades e características do OpenStack são

tantas que não dá para transcreve­las aqui neste arti­go, sendo assim vou frizar alguns pontos importantesao decorrer deste conteúdo, havendo interesse bastarealizar pesquisas na web sobre a ferramenta aquiabordada.

O objetivo deste artigo não é pontuar todas as ca­racterísticas e recursos do OpenStack, mas sim daruma visão geral do que este sistema é capaz. Sendoassim a lista anterior não pode ser considerada com­pleta.

CCrreesscciimmeennttoo ddoo OOppeennSSttaacckk

|33

Open

Stack

soluçã

opara

construçã

odenuvens

Nunca foi tão fácil construir uma nu­vem. A comunidade OpenStack é umgrupo global de desenvolvedores quetrabalha de forma colaborativa emprol de um SO baseado em códigoaberto para nuvem.

TENHA SUAPRÓPRIA NUVEM

CCaarraacctteerrííssttiiccaass ddaa ffeerrrraammeennttaa

Desenvolvimento aberto sobre uma licençaApache 2;Código fonte disponível publicamente;Comunidade aberta, processos e documentação

transparentes;Desenho modular para distribuição flexível via

API;Padrão emergente suportado por grandes ecos­

sistemas;Projetado para escalar de forma econômica;

Pode ser processado em 100 ou até mesmo mil ser­vidores, ou seja, possui uma escalonabilidade que

outros sistemas não possuem para este nível de pro­cessamento.

RReeccuurrssooss ddaa ffeerrrraammeennttaa

Controla e automatiza conjunto de recursos;Aloca recursos com eficiência;Capacita admins & usuários via portal de auto­

gestão;Capacita desenvolvedores para escrever aplica­

ções conscientes da nuvem via APIs.

Imagemilustrativa

Março 2012 • segurancadigital.info

Mesmo sendo um projeto relativamente “novo”, es­te conta atualmente com o apoio e contribuição demais de 150 empresas e dois mil e trezentos partici­pantes. Vale ressaltar ainda que este número continuacrescendo. O OpenStack é uma opção viável, eficien­te e de qualidade para a nuvem. Sem dúvida, outro fa­tor que contribui em muito para o rápido crescimentodeste sistema, é o fato de ele ser uma solução de códi­go aberto, isso garante uma flexibilidade incrível paraum sistema que já é considerado a melhor opção deSO para criação e gerenciamento de nuvens.

NNoottaaDurante a conferência OpenStack, que aconteceu

em Boston, a CEO da Canonical, Jane Silber, anunci­ou que a Hewlett­Packard escolheu o Ubuntu comodistribuição Linux para ser o seu sistema base de nu­vem pública. Silber disse ainda que o Ubuntu é umaboa escolha para as nuvens OpenStack, devido à suaextensa flexibilidade e escalabilidade, além de ser umsistema host seguro.

RReeccuurrssooss iinnccoorrppoorraaddooss àà ppllaattaaffoorrmmaaOpenStack Compute ­ os novos recursos incluem

um scheduler distribuído, permitindo que máquinasvirtuais sejam implantadas, um modo de rede de altadisponibilidade para evitar tempo de inatividade, seum servidor primário falhar, suporte para um novo sis­tema de autenticação, além de um sistema OpenStackIdentity Management (gerenciamento de identidadeOpenStack).OpenStack Object Storage ­ um novo multi­clus­

ter container sync permite que um usuário escolhacontêiner por contêiner com base nos dados para repli­cação de clusters situado em múltiplas localizaçõesgeográficas.OpenStack Image Service ­ Atualizações para o

serviço de imagem incluem um processo de filtrageme busca novas capacidades através da API, uma carac­terística muito requisitada pelos prestadores de servi­ços que apoiam um grande número de clientesglobais.

SSuuggeessttããoo ­­ LLeeiittuurraa ssoobbrree cclloouudd......

Na edição passada da Revista Segurança Digitalfoi publicado um conteúdo intitulodo "Segurança daInformação: Previsões para 2012" onde a questãoda cloud é rapidamente revista e pontos importantessão mencionados. Recomendo fortemente a leituradeste conteúdo.

ARTIGO Segurança Digital

|34

Fábio Jânio Lima Ferreira ­ (Diretor e Diagramador)

Analista de suporte técnico, administra­dor de redes, programador, ativista e de­fensor do software livre. Sem sombra dedúvida o campo da segurança computaci­onal me seduz como nem uma outraárea. Apaixonado por tecnologia e fasci­nado pela cultura hacker.

Email: fabiojanio@segurancadigital.infoBlog: www.fabiojanio.comTwitter: @_SDinfo

Figura 1 ­ Logo do OpenStack.

CClloouudd CCoommppuuttiinngg

O conceito de cloud computing (em português,computação em nuvem) refere­se à capacidade dese utilizar recursos de processamento e armazena­mento que se encontram externos a sua máquina.Os computadores/servidores que oferecem este re­curso chamado cloud, geralmente estão interliga­dos por meio da rede mundial de computadores(internet), esta interconectividade entre asmáquinas que formal a cloud é chamada de com­putação em grade e as vezes alguns a chamam decomputação distribuída.Em resumo os benefícios oferecidos pela cloud

são, disponibilidade de recursos conforme necessi­dade (escalabilidade), acessibilidade e disponibili­dade.

Mesmo a cloud computingse apresentando como umasolução benéfica ao futurodas empresas e negócios co­mo um todo, é preciso tomarcuidado quanto ao seu uso.

Março 2012 • segurancadigital.info

Quando pensamos em links WAN (links de dados delonga distância), normalmente associa­se com a re­lação entre custo e velocidade. Quanto mais rápido

for o link, maior o custo. Como usufruir da melhor manei­ra o investimento nessa tecnologia indispensável para em­presas que possuem escritórios distribuídosgeograficamente, e ainda assim manter a segurança destelink?Para entendermos melhor os conceitos que serão

descritos, imaginemos o seguinte cenário: uma empre­sa de advocacia possui escritórios em três grandes ca­pitais, como São Paulo, Rio de Janeiro e Brasília.Esta empresa possui um sistema online de controle deprocessos, no qual o servidor fica na matriz em SãoPaulo, assim como as pastas de documentos diversoscompartilhadas entre todas as filiais. Diariamente osfuncionários acessam o sistema para consulta e entra­da de dados e compartilham arquivos. Para minimizaros custos e por segurança, o acesso à Internet das fili­ais também é feito exclusivamente através da matriz.Neste suposto cenário fica claro que a utilização

dos links entre todos os escritório é largamente utiliza­do e vital para o bom funcionamento da empresa, po­rém, nesta utilização dos links está incluído o acessoà Internet de forma geral: sites de notícias, governa­mentais, blogs, vídeos e até redes sociais. Estes sitesocupam parte significativa da banda do link, em espe­

cial os vídeos, como YouTube, por exemplo. Para mi­nimizar esta utilização em demasia, é comum queempresas bloqueiem estes sites através de servidoresProxy ou filtros de conteúdo, mas é muito comumque estes sites tenham que ser utilizados para fins detrabalho também, além, é claro, de proporcionar mo­mentos de relaxamento durante as horas de expedien­te, o que pode também ser produtivo para ofuncionário. Bloquear ou não estes sites que conso­mem muita banda não é ponto em questão aqui, massim administra­los.O gráfico abaixo demonstra um exemplo de utili­

zação de um link WAN de 2Mbps de uma filial paraa matriz, no qual é compartilhado o acesso à Internet,assim como às aplicações desenvolvidas para o fun­cionamento da empresa. Nota­se que em momentosde acesso à YouTube, por exemplo, o consumo debanda é bastante alto e é sacrificada a banda que se­ria necessária para as aplicações.

|35

Otimizaçã

odeLinks

WAN

Março 2012 • segurancadigital.info

Torna­se necessário, portanto, para garantir a boaperformance das aplicações mais essenciais, primeira­mente, visualizar e entender quais tipos de dados es­tão sendo transmitidos no link. Para tal existemferramentas no mercado que fazem este tipo de análi­se e geram gráficos semelhantes ao descrito. Uma vezanalisada a utilização do link, o próximo passo é blo­quear a transmissão de dados que não são relevantes,como por exemplo, pacotes de dados de jogos online,sites ilícitos ou que ferem a política de utilização dosrecursos da empresa, etc. Este tipo de procedimentofornece à equipe de segurança um maior controle so­bre o que se passa dentro da rede das filiais e atravésdo link WAN e deveria ser aplicado sempre que possí­vel.Uma vez limpo o tráfego no link para que transi­

tem somente os dados realmente necessário, deve serfeito o controle da quantidade de banda designada pa­ra cada tipo de aplicação. Por exemplo: pode ser deci­dido que, neste link de 2Mbps, acesso à sites comoYouTube ou conteúdo de vídeo, poderá ser utilizadosomente 512Kbps da banda total. Isso garantirá a boavelocidade e tempo de resposta das aplicações maisimportantes e ao mesmo tempo permitir que os usuári­os tenham acesso ao conteúdo da Internet.Porém, como o objetivo é otimizar a utilização do

link e usufruir da melhor forma possível o investimen­to feito, esta solução não é suficiente. Imagine a situa­ção que, em um determinado momento a empresaestá utilizando pouco o link, somente 1Mbps dos2Mbps contratados. Ainda assim, o acesso à sites devídeo continuam limitados aos 512Kbps configuradospelo sistema de controle. O restante da banda não es­tá sendo utilizado e assim, desperdiçado.A solução é aplicar políticas que controle o acesso

à aplicações incluindo o fator "prioridade". Seguindonosso exemplo anterior e aplicando essa nova políti­ca, o acesso à sites de vídeos terá permissão de utili­zar 512Kbps como antes, porém ela poderá utilizaraté 100% do link caso não concorra com outras aplica­ções mais prioritárias, como as aplicações empresari­ais ou compartilhamento de arquivos. Uma vez queuma aplicação mais prioritária deseje utilizar o link,ela terá um espaço na banda determinado para o bomfuncionamento e quem irá ceder espaço, desta vezsão as aplicações menos prioritárias, como o YouTu­be, no nosso exemplo.O gráfico abaixo mostra o fluxo de dados transmi­

tido pelo menos link, porém agora com controle debanda por aplicações. Nota­se que em determinado

momento, quando as aplicações empresariais não re­querem muita banda, outras aplicações que eram li­mitadas, agora podem utilizar mais espaço no link,não desperdiçando a banda contratada.

Por fim, uma vez analisado os tipos de tráfego quesão transmistidos pelo link e controlar sua utilizaçãode banda para otmizar a performance das aplicaçõesmais essenciais, pode­se também fazer uso de tecno­logia de deduplicação de dados, ou seja, evitar que omesmo dado seja transmitido mais de uma vez atra­vés do link, como por exemplo arquivos, imagens,vídeos ou até mesmo anexo de emails, quando este éenviado à diversos funcionários da mesma filial.Quando se trata de utilizar links WAN para comu­

nicação, devemos ter em mente sempre a visualiza­ção dos tipos de dados que são transmitidos,administrar o consumo de banda por tipo de aplica­ções, definindo o que é mais prioritário e por fim oti­mizar o consumo deste link. Com a aplicação destesconceitos, as empresas poderão usufruir da melhorforma possível todo o benefício do investimento nes­ta tecnologia de transmissão.

ARTIGO Segurança Digital

|36

Fernando Shayani

Empresa: criTTeria Serviços de TISite: www.critteria.com.brE­mail: fernando@critteria.com.br

Março 2012 • segurancadigital.info

IInnttrroodduuççããooMuitas empresas no Brasil já começam a entender

a importância deste novo paradigma de computaçãonas nuvens (cloud computing). Porém em um recenteestudo realizado pelo Business Software Alliance(BSA), chamado de BSA Global Cloud ComputingScorecard1, divulgado no último dia 22 de Fevereirode 2012, foi externado à posição do Brasil no rankingdos países que estudam a adoção de computação nanuvem. O estudo baseia­se na atual agenda de iniciati­vas para desenvolver e adotar o conceito de computa­ção na nuvem. Resultado: o Brasil ficou em últimolugar.Este estudo leva em consideração uma série de pa­

râmetros de avaliação, porém, para o contexto desteartigo é importante salientar os seguintes: Segurança,Crime Cibernético e Privacidade dos Dados. Paramensurar o quão preparado o país estava para lidarcom tais temas, uma série de questionamentos foramrealizados2. No tópico de Privacidade dos dados oBrasil falhou em quatro de dez perguntas. No tópicode Segurança o Brasil falhou em três de cinco pergun­tas. No tópico de Cribe Cibernético o Brasil falhouem duas de quatro perguntas.

O objetivo deste artigo é de mostrar as vantagensda computação na nuvem do ponto de vista do negó­cio, levantar os principais riscos que devem ser miti­gados durante o planejamento da migração e por fimenumerar pontos importantes da migração. É impor­tante salientar que o artigo não tem como objetivotratar as questões legais da adoção da computação nanuvem em território Brasileiro.

AAss VVaannttaaggeennss ssããoo MMuuiittaassAntes mesmo de saber o motivo que leva a com­

putação na nuvem ser tão atrativa para os negócios, éimportante entender o que de fato é a computação nanuvem. Para isso eu vou recomendar a leitura do Ca­pítulo 17 do Livro de Security+ (de minha autoria emparceria com Daniel Mauser)3. Neste capítulo vocêvai ter a definição de computação na nuvem uma sé­rie de consideraçòes sobre sua adoção.Partindo do pressuposto que estamos agora falan­

do o mesmo idioma no que tange o conceito de com­putação na nuvem, torna­se mais claro o impacto quetal tecnologia terá em diferentes áreas do mercado. Alista de vantagens podem e são bem mais extensasque a que apresentarei abaixo, porém quero enfatizar

|37

Identificando as oportunida­des e mitigando os riscosda adoção da compu­tação na nuvem

1 Relatório completo em http://portal.bsa.org/cloudscorecard2012/assets/PDFs/BSA_GlobalCloudScorecard.pdf2 Ver página 12 do relatório citado na nota 1.3 Você pode baixar o capítulo 17 no site do livro, em www.securityplusbr.org

Março 2012 • segurancadigital.info

Segu

ranç

aem

Clo

udC

ompu

ting

os três principais fatores de motivação para migraçãopara nuvem:

Do ponto de vista do negócio os atrativos da com­putação na nuvem são inumeros, porém também exis­te o “medo”, principalmente pelo lado do profissionalde TI que esta migração signifique o fim do empregodele na empresa. Assim como toda e qualquer mudan­ça, a migração para nuvem traz oportunidades e ris­cos para os profissionais que diretamene seramafetados por isso. O tradicional profissional de TI/Se­gurança que está acostumado a trabalhar de uma for­ma mais reativa (apagando incêndio) vai realmentesentir que sua existência na empresa pode estar emrisco. Isso devido ao fato de que na migração para nu­

vem publica, a operacionalização dos servidores quefornecem os serviços são realizadas pelo provedor danuvem. Porém, tais profissionais precisaram se rea­dequar a esta realidade e começar a usar desta mu­dança uma oportunidade de agregar valor ao negócio.O profissional de TI/Segurança que antes era 90%

reativo e 10% proativo, precisará agora inverter ospapeis. Os profissionais de Segurança vão ter maistempo para trabalhar mais nas políticas de segurança,treinamentos de segurança (security awareness trai­ning), acessar os fatores de vulnerabilidade da em­presa, fazer testes de penetração, fazer levantamentode risco, liderar o programa de segurança na compu­tação na nuvem dentro da empresa. Veremos mais nafrente que migração para nuvem não é uma transfe­rência de risco de segurança para o fornecedor dosserviços da nuvem. Já os profissionais de TI vão termais tempo para planejar o uso de TI como uma for­ma de alavancar negócios para a empresa, alinhar TIcom os objetivos da empresa, fazer com que o depar­tamento de TI não seja visto apenas como um localque “conserta o computador”, mas sim o departamen­to que faz o negócio acontecer, traz valor ao negócioatravés da adoção de novas tecnologias e automaçãode processos. Torna­se essencial neste novo modeloque os profissionais de TI tenham conhecimento mí­nimo de gerencialmento de projetos (recomendo nomínimo a certificação Project+ da CompTIA, o idealé obter a certificação PMP) e serviços/operacionali­zação de TI (recomendo a certificação ITIL V3 Foun­dations).

EE ooss RRiissccooss??Conforme mencionei anteriormente, mudança é

composta de riscos e oportunidades. Ao passo que ci­tei algumas oportunidades que giram em torno da mi­gração para nuvem, os riscos também são grandes.Porém a boa notícia é que os riscos podem ser miti­gados. A tabela abaixo enumera o risco e as possíveisperguntas que devem ser questionadas ao provedorde serviço de nuvem:

ARTIGO Segurança Digital

|38

Demandas Econômicas: com a premissa de quevocê só vai pagar pelo que você usa há uma ten­dência natural de redução de custo. Junto com a re­dunção de custo vem a capitalização em cima douso do serviço sobre demanda. O modelo de licen­siamento fica simplificado e com um custo benefí­cio mais atraente.Redução de Gerenciamento: a partir do mo­

mento que se passa a consumir o software comoum serviço, a redução do gerenciamento da plata­forma (principalmente do lado do servidor) é redu­zida. A abstração do que está por trás do serviçoque esta sendo consumido leva a uma redução ge­ral de gerenciamento. As implementações tendema ficarem mais ágeis, tendo em vista que os upgra­des da plataforma BackEnd ficam por conta dofornecedor de serviços da nuvem.Aumento da Produtividade: os usuários vão

ter mais exposição a trabalhar com as versões maisnovas do software devido a agilidade de migraçãoexistente na plataforma. Se antes as empresas pre­cisavam disponibilizar sua própria plataforma deacesso remoto para que o usuários pudessem cola­borar de forma remota, agora o usuário só precisater acesso a web para acessar os softwares corpora­tivos.

Risco Perguntas Frequentes

Confiar no modelo de segurançado provedor de soluções

­ Quais as garantias que tenho para confiar no seu modelo de segurança?­ Seu datacenter tem alguma certificação relevante do âmbito de segurança?

Lidar com auditoria de dados ­ Posso ter acesso aos dados para fazer auditoria no sistema que eu uso?­ O que é preciso para auditar o manuseamento dos meus dados?

Março 2012 • segurancadigital.info

Tais questionamentos fazem parte apenas do reco­nhecimento das políticas de segurança do provedorde serviços da nuvem. O trabalho não acaba por aí,na reallidade está apenas começando. O documento800­1444 do Instituto Nacional de Padrões e Tecnolo­gias (NIST – National Institute of Standards and Tech­nology) dos Estados Unidos define uma série dediretrizes para segurança e privacidade em uma nú­vem pública.

PPrreeppaarraannddoo­­ssee ppaarraa MMiiggrraaççããoo tteennddoo SSeeggu­u­rraannççaa ccoommoo PPrreemmiissssaaUm dos aspectos que geralmente não é endereçado

com a devida atenção é a segurança de perímetro.Muitos gestores têm a idéia errada que a contrataçãode um serviço de núvem significa a transferência deresponsabilidade da segurança dos dados para o pro­vedor de serviços, porém isso não é verdade. Os da­dos podem estar em locais diferentes durante atransação e dependendo de onde ele esteja à responsa­bilidade é de partes diferentes. Vejamos no diagramada Figura 1.Neste diagrama podemos notar que os recursos lo­

calizados na rede interna são críticos também. Atémesmo porque se uma estação de trabalho for compro­

metida, ela poderá tornar­se a porta de entrada para oacesso malicioso a dados que estejam localizados nanuvem. Como o acesso das premissas do cliente parao provedor de nuvem é válido e autenticado, torna­sedifícil mitigar um acesso que aparentemente é válido.Por este motivo, os recursos localizados no ítem 1são de responsabilidade do cliente. A segurança des­tes ativos é de responsabilidade do contratante.Quando o dado está em trânsito é necessário que o

mesmo esteja criptografado. Com os recentes ataquesa certificados SSL, tornou­se ainda mais necessárioter um dispositivo de perímetro (Firewall) que sejacapaz de não apenas analisar o tráfego, mas que tam­bém possa fazer validação SSL. Através da inspeçãoSSL realizada pelo firewall você estará adicionandouma camada a mais de proteção. O conceito de segu­rança em profundidade aplicado na prática torna­semais importante que nunca.

Ao chegar à rede do provedor de serviços danuvem, a responsabildiade passa a ser do provedor.Os questionamentos que relacionados a proteção des­tes dados (como os exemplos que mencionei anteri­ormente) precisam ser endereçados.

ARTIGO Segurança Digital

|39

Obter suporte para fins deinvestigação de incidentes

­ Caso eu precise fazer uma investigação forense, como obtenho dados dosservidores que eu utilizo?

Desenvolvimento não seguro deaplicações

­ As aplicações que minha empresa vai consumir no seu serviço de nuvemforam desenvolvidas com algum modelo de segurança para nuvem?

Ameaças internas

­ Quais as garantias que tenho que o seu pessoal (operacional) não vai sabotarmeus dados?­ É feito algum tipo de “background check” nos profissionais que sua empresacontrata para operar os serviços da nuvem?

Tecnologia compartilhada

­ É possível que o meu concorrente tenha dados armazenados no mesmoservidor que eu uso, tendo em vista que estamos em uma plataformavirtualizada. Como é feito o isolamento dos dados em descanso (data resting)e em trânsito?

Vazamento de informações­ Que tipo de penalização/multa esta prevista caso exista vazamento dos meusdados pessoais localizados no datacenter da sua empresa?

Localização Geográfica* ­ Onde fica o datacenter que vai armazenar meus dados?

* Este questionamento é importante para fins de regulamentação. Em alguns países e para alguns tipos detransações, é mandatório que o dado fique localizado dentro das premisas físicas do país.

4Documento completo em http://csrc.nist.gov/publications/nistpubs/800­144/SP800­144.pdf

Março 2012 • segurancadigital.info

Figura 1 ­ Trajeto do dado.

CCoonncclluussããooNeste artigo você aprendeu um pouco sobre as

questões relacionadas a segurança na nuvem publicae alguns fatores que devem ser considerados duranteesta migração. As referências abaixo podem serutilizadas para um aprofundamento maior no tema.

RReeffeerrêênncciiaassProtecting your Weakest Point: On­Premise

Resources (ISSA Journal/Maio 2011)www.yuridiogenes.com.br/issa/WeakestPoint_ISSA

0511.pdf

TechED 2011­ Segurança de Perímetro duranteMigração para Nuvem (SIA302)http://yuridiogenes.wordpress.com/2011/10/04/tech

ed­2011­segurana­de­permetro­durante­migrao­para­nuvem­sia302/

Capítulo 17 do Livro de Security+ (EditoraNovaTerra)http://www.securityplusbr.org

Guidelines on Security and Privacy in PublicCloud Computinghttp://csrc.nist.gov/publications/nistpubs/800­

144/SP800­144.pdf

ARTIGO Segurança Digital

|40

Yuri Diogenes

(CISSP, EC|CEH, E|CSA, CompTIACloud Essentials Certified, CompTIASecurity+, Network+, MicrosoftMCITP, MCTS, MCSA/MCSE+Secu­rity, MCSE+Internet, MCSA/MC­SE+Messaging, membro da ISSANorth Texas e da American Society ofDigital Forensics & eDiscovery). Mes­trando em Cybersecurity Intelligenceand Forensics Investigation pela UTI­CA College nos Estados Unidos, é au­tor de vários livros na área desegurança da informação e ex membrodo grupo de engenharia de suporte aprodutos da linha Microsoft ForefrontEdge Security. Atualmente Yuri traba­lha no grupo Windows IT PRO Secu­rity da Microsoft. Yuri também escreveno seu blog em inglês.

Em ingles: http://blogs.technet.com/yuridiogenesEm Português http://yuridiogenes.wordpress.comTwitter @yuridiogenes

Março 2012 • segurancadigital.info

Mais cedo ou mais tarde iremos necessitar deacesso remoto a algum servidor, seja para reali­zar alguma configuração, manutenção, procedi­

mentos de rotinas ou qualquer outra tarefa. Algunsadministradores de rede, sistemas, entre outros, ficam decabelos em pé ao ouvir algo como “preciso de acesso re­moto”.Conheço casos de hospedagem web onde o forne­

cedor não libera acesso FTP para seus clientes e, aoinvés disso, a parte contratante da hospedagem temde enviar os arquivos para os responsáveis pelo servi­dor e só então estes fazem o upload. Alguém se esque­ceu de avisar a estes “indivíduos” que estamos empleno século XXI.Este tutorial trata basicamente de como conseguir

manter seu servidor com acesso SSH fora do alcancede indivíduos mal intencionados, mas lembre­se, na­da na informática é 100%. Estou apenas mostrandocomo adicionar uma camada de segurança bem efici­ente.

DDiicc iioonnáárr iioo ddoo mmaallEste subtítulo é um tanto irônico, mas acho bem

apropriado para o tema aqui abordado. Este título re­presenta para mim um conjunto de “palavras computa­cionais” que podem ser utilizadas para conseguiracesso não autorizado a um sistema informático.

Servidores que necessitam de acesso remoto pormeio de senha, como o SSH, acabam ficando vulne­ráveis por estarem expostos à Internet. Estes, por suavez, podem sofrer ataques de força bruta (dicioná­rio), que visam “encontrar” a combinação de senhaque permita ao meliante se logar com algum usuáriovalido no sistema alvo.Diferentes técnicas podem ser empregadas para

minimizar os riscos de acesso não autorizado. Umaautenticação por chave pode ser uma das soluçõespara fortalecer o nível de segurança e endurecimento(hardening) do sistema, mas de fato esta abordagemnão impede ataques de força bruta de serem realiza­dos contra o servidor alvo, apenas torna inviável estatática de “guerra”.Tenho plena certeza que muita gente pensa o se­

guinte: “vou fortalecer o sistema ao máximo e destaforma indivíduos mal intencionados não poderão mecausar danos, pois não conseguirão acesso ao siste­ma”. Este pensamento pode ser considerado antiqua­do e até irresponsável pelo simples fato de que não énecessário conseguir acesso ao sistema para causar“prejuízos”. Se você, por exemplo, permitir que indi­víduos realizem ataques de dicionário, existe a possi­bilidade de estes conseguirem sobrecarregar oservidor ao inundar o sistema com requisições inváli­das de acesso.

|41

SSH

-ProteçãoCom

Den

yHosts

Este tutorial mostra como proteger o servidor SSH enão a conexão...

Março 2012 • segurancadigital.info

DDeennyyHHoossttssO DenyHosts pode ser apresentado como uma das

melhores formas de proteger seu servidor contra ata­ques como força bruta. Em outras palavrasDenyHosts é uma ferramenta/script que monitora osarquivos de log /var/log/secure e /var/log/auth.log,respectivamente para Red Hat/Fedora e Debian/Ubun­tu. A partir deste monitoramento, esta ferramenta adi­ciona entradas em /etc/hosts.deny, arquivoresponsável por negar pedidos de requisições vindasdos hosts listados em seu interior, vale ressaltar aindaque as entradas são adicionadas a este arquivo seguin­do parâmetros determinados pelo administrador, co­mo, por exemplo, número de requisições negadasdentro de um intervalo de tempo. Ressalto ainda queDenyHosts pode ser instalado em qualquer distroGNU/Linux, neste tutorial levaremos em conta a ins­talação em ambiente Fedora e Debian, lembrando ain­da que com poucas ou nenhuma modificação estepode ser instalado em outras distribuições.

MMããooss àà oobbrraaChega de conversa e vamos fazer a instalação do

DenyHosts. Basicamente, esta instalação pode ser fei­ta de duas formas, por meio de gerenciadores de paco­te como apt­get/aptitude em distribuições Debian eyum em distribuições como Fedora. Outra forma defazer a instalação é baixando o pacote tar.gz no ende­reço [1] Neste tutorial irei instalar o DenyHosts emum ambiente Debian 6 (squeeze) e Fedora 16, utili­zando gerenciadores de pacote.

IInnssttaallaannddoo vv iiaa aapptt ii ttuuddee yyuummAqui utilizarei o comando aptitude para fazer a ins­

talação do DenyHosts mas, caso você prefira utilizaro apt­get, fique à vontade. A primeira linha do quadroabaixo se refere ao comando que deve ser utilizadoem distribuições Debian e derivadas, já a segunda li­nha é utilizada em distribuições Fedora e derivadas:

Utilizar gerenciadores de pacotes como aptitu­de/yum apresenta diversas vantagens, como, por ex­emplo, não ser necessário fazer um download manualdo pacote, não ser preciso descompactar nem moverarquivos dentro do sistema, pois estes já são enviadospara seus devidos diretórios e, por último, não ser pre­ciso criar links dentro do sistema. No tópico seguinte

veremos outra forma de baixar e instalar oDenyHosts, mas lembre­se: se você utilizou um ge­renciador de pacotes como aptitude ou yum não serápreciso fazer a instalação do tar.gz.

CCoonnff iigguurraannddooApós o processo de instalação nos resta apenas re­

alizar as configurações finais, configurações estasque tornarão o DenyHosts funcional. Caso você te­nha instalado esta ferramenta por meio de gerencia­dores de pacotes em distros baseadas no Debian, oarquivo de configuração se encontra em/etc/denyhosts.conf, já no caso de RedHat/Fedo­ra/CentOS o arquivo em questão fica em/etc/hosts.deny.Tanto na instalação por meio de gerenciadores de

pacotes como por meio do arquivo tar.gz as configu­rações são basicamente as mesmas. Relembrando quese você fizer a instalação via tar.gz será preciso criarlinks simbólicos para diretórios do sistema e renome­ar o arquivo de configuração, ou seja, você terá tra­balho dobrado. Editando o arquivo de configuração,você deverá ficar atento às informações relacionadasaos endereços de arquivos de logs da distribuição naqual o DenyHosts foi instalado:

DICA / TUTORIAL Segurança Digital

|42

# aptitude install denyhosts# yum install denyhosts

# Arquivo de LOG a ser verificadoSECURE_LOG = /var/log/secure

# Arquivo que contém hosts bloqueadosHOSTS_DENY = /etc/hosts.deny

# Limpar o arquivo /etc/hosts.deny a cada 3 diasPURGE_DENY = 3d

# Especifica o serviço a negar acessoBLOCK_SERVICE = sshd

# Quantos logins inválidos de usuário inexistentesindica uma tentativa de ataqueDENY_THRESHOLD_INVALID = 3

# Quantos logins inválidos de usuário existenteindica uma tentativa de ataqueDENY_THRESHOLD_VALID = 5

# Quantas tentativas invalidas de login como rootcaracterizam uma tentativa de ataqueDENY_THRESHOLD_ROOT = 1

# Denunciar logins inválidos vindos de máquinasválidasSUSPICIOUS_LOGIN_REPORT_ALLOWED_

HOSTS=YES###Parâmetros opcionais para envio de e­mails dealerta

Março 2012 • segurancadigital.info

VVaalloorreess ddee tteemmppoo

Caso você especifique algum valor e não indique aunidade de tempo, o valor a ser considerado será emsegundos.

DDeennyyHHoossttss ffuunncc iioonnaannddooAo realizar a instalação por meio dos gerenciado­

res de pacote, o DenyHosts irá funcionar em modoDaemon , ou seja, rodará constantemente em segundoplano, não sendo necessário que você solicite sua exe­cução.Toda vez que um host identificado como potencial

atacante for detectado, uma entrada será adicionadaao arquivo especificado na variável HOSTS_DENY.Os valores adicionados seguem mais ou menos estepadrão:

DDeeffeessaa ccoollaabboorraatt ii vvaaResumidamente, o DenyHosts possui uma lista glo­

bal contendo hosts potencialmente agressivos, sendoassim você não precisa esperar que um ataque seja re­alizado contra sua máquina para poder adicionar esteshosts a lista de máquinas bloqueadas. Para ativar o re­curso de lista colaborativa, basta descomentar as se­

guintes linhas no arquivo de configuração:

Mas existe um problema em utilizar esta aborda­gem. Um servidor com DenyHosts mal configuradopode bloquear um host que não apresenta perigo al­gum, para evitar isso você pode descomentar a se­guinte linha:

Esta, por sua vez, tem a função de fazer downloadsomente daqueles hosts que tiverem sido bloqueadosem pelo menos 6 servers diferentes, com certeza estaabordagem tornará a lista de hosts mais fidedignas.Outro recurso interessante que pode aumentar ain­

da mais a veracidade da sua lista é:

Este, por sua vez, tem como objetivo considerarapenas os hosts que estiverem bloqueados a pelo me­nos dois dias. Lembrando que você pode editar estevalor utilizando outras unidades de tempo ou atémesmo outros valores para esta mesma unidade.

|43

ADMIN_EMAIL = adm@endereco.com.brSMTP_HOST = mail.endereco.com.brSMTP_PORT = 25SMTP_FROM = DenyHostsSMTP_SUBJECT = Relatorio DenyHosts

### Parâmetros para o modo daemonDAEMON_LOG = /var/log/denyhosts

# Intervalo de tempo para verificação do arquivo delog.DAEMON_SLEEP = 30s

# Intervalo para limpeza da lista de bloqueados.DAEMON_PURGE = 1d

Unidade de tempo Descrição

s Segundo

m Minuto

h Hora

d Dia

w Mês

y Ano

sshd: 123.456.789sshd: 234.567.890sshd: 345.678.901

# caso você utilize algum firewall, certifique­se quea porta 9911 pode ser utilizada pela ferramenta:SYNC_SERVER = http://xmlrpc. denyhosts.net:

9911# permitir ou negar download da lista colaborativa:SYNC_DOWNLOAD = yes

# permitir ou negar upload da lista de bloqueiosrealizado pelo seu server:SYNC_UPLOAD = yes

SYNC_DOWNLOAD_RESILIENCY = 2d

SYNC_DOWNLOAD_THRESHOLD = 6

Fábio Jânio Lima Ferreira ­ (Diretor e Diagramador)

Analista de suporte técnico, administra­dor de redes, programador, ativista e de­fensor do software livre. Sem sombra dedúvida o campo da segurança computaci­onal me seduz como nem uma outra área.Apaixonado por tecnologia e fascinadopela cultura hacker.

Email: fabiojanio@segurancadigital.infoBlog: www.fabiojanio.comTwitter: @_SDinfo

DICA / TUTORIAL Segurança Digital

[1] ­ http://sourceforge.net/projects/denyhosts/files/denyhosts/

Março 2012 • segurancadigital.info

VViioollaaççããoo ddee ee­­mmaaii ll ssíírr iioo iinnddiiccaa gguueerrrraa ddiiggii ttaallA divulgação de dezenas de e­mails reveladores do presidenteBashar el­Assad aponta parauma nova era de guerra de infor­mações ­­ tenha sido ela ação

dos próprios rebeldes sírios, resultado de ajuda deagências de espionagem do Ocidente ou de hackersativistas.>> http://migre.me/8k8bk

1133 eemmpprreessaass ddee TTII ssããoo pprroocceessssaaddaass ppoorr rroouubbooddee ddaaddooss

Um grupo de norte­americanosprocessou várias empresas de tec­nologia por elas terem violadosseus dados pessoais emsmartphones. Eles alegam no pro­

cesso que os apps (das empresas Facebook, Beluga,Yelp, Burbn, Instagram, Foursquare Labs, Gowalla,Foodspotting, Path, Twitter, Apple, Hipster, Linke­dIn, Rovio, ZeptoLab, Chillingo, Electronic Arts eKik) acessam, sem autorização, os dados pessoais –como lista de contatos telefônicos e de e­mails – paracompartilhar informações ou mesmo montar uma ba­se de dados.>> http://migre.me/8k8gj

AAssssaannggee,, ddoo WWiikk iiLLeeaakkss,, eessttuuddaa vvii rraarr ppooll íítt iiccooO fundador e líder do WikiLe­aks, Julian Assange, planeja secandidatar a uma cadeira no Se­nado da Austrália, anunciou ogrupo anti­sigilo no Twitter nes­

te sábado. Os comentários não puderam ser imediata­mente confirmados. O australiano Assange, 40, estáatualmente em regime de prisão domiciliar no ReinoUnido e luta contra a extradição para a Suécia paraser interrogado sobre acusações de crimes sexuais.>> http://migre.me/8k8lR

AAnnoonnyymmoouuss:: IInntteerrppooll ssee iinnff ii ll tt rroouu nnoo ggrruuppoo ppa­a­rraa pprreennddeerr mmeemmbbrroossPessoas identificadas como membros do grupo hac­

ker Anonymous afirmaram que ainfiltração da Interpol na organi­zação foi o que levou à prisão de25 hacktivistas na Europa eAmérica Latina. O grupo afir­

mou que quase todos os integrantes presos haviamparticipado em um mesmo site da rede usado peloAnonymous.>> http://migre.me/8k8rc

EEmm eenntt rreevviissttaa,, ffuunnddaaddoorr ddoo MMeeggaauuppllooaadd ccoom­m­ppaarraa ssii ttee aaoo GGooooggllee

O alemão Kim Dotcom, o fun­dador do Megaupload, conce­deu na quinta­feira (1°) suaprimeira entrevista para TV ne­ozelandesa depois de ser solto

da prisão. Ao jornalista John Campbell, o empresá­rio, que é acusado de facilitar a pirataria e causar umprejuízo de US$ 500 milhões, disse que o site estavaprotegido pela lei do Digital Millennium CopyrightAct (DMCA), a mesma que protege sites como oYouTube e o Google.>> http://migre.me/8k8uj

LLiinnuuss TToorrvvaallddss ccrr ii tt iiccaa ddiisstt rrooss qquuee ppeeddeemm sse­e­nnhhaa ddee rroooott ppaarraa ttaarreeffaass ccoommuunnss

Opinião pessoal não deve ser leva­da em conta na hora de generalizarsobre determinado sistema, masquando essa opinião vem de al­guém com grande influência naorigem do mesmo, não dá para dei­

xar o caso passar despercebido. Linus Torvalds desa­bafou no seu Google+ sobre as políticas de segurançado OpenSUSE.>> http://migre.me/8k8xk

|44

NOTÍCIAS

Contribua com nosso projeto?

Envie um email para nossa equipe!

contato@segurancadigital.info

Março 2012 • segurancadigital.info

ANÚNCIO AbleSecurity|45 Março 2012 • segurancadigital.info

www.ablesecurity.com.br

Março 2012 • segurancadigital.info|46

ANÚNCIO Data Security

Março 2012 • segurancadigital.info|47

Par

ceiro

s

Venha fazer parte dos nossosparceiros, que apoiam e con­tribuem com o Projeto Segu­rança Digital.

O curso é totalmente prático e aborda métodos, téc­nica e ferramentas utilizadas por Hackers, utili­zando­as para a realização de Testes de invasão

(Pen Tests). Todo conteúdo é transmitido de forma práticae dinâmica, apresentando desafios para serem resolvidosao longo do curso. Dessa maneira, o aluno se depararácom cenários reais que simularão contextos específicos on­de precisará realizar um Teste de invasão, onde no final docurso um relatório final deverá ser apresentado.Esse é o segundo curso da formação em seguran­

ça, onde o aluno, após aprender a proteger seu servi­dor (através do curso 415), aprenderá técnicas aindamais avançadas para descobrir e explorar vulnerabili­dades, avaliando seu grau de risco e ameaça, oferecen­do no relatório final o resultado de seu trabalho ecomo mitigar as falhas e vulnerabilidades encontra­das.

QQuueemm ddeevvee ffaazzeerr eessttee ccuurrssoo ee ppoorr qquuêêConsultores de Segurança, Analistas de segurança

e Administradores de Redes que queiram entender ofuncionamento das intrusões feitas pelos Crackers.Os profissionais de TI serão capacitados para realizarTestes de Segurança, permitindo que identifiquem vul­nerabilidades e qualifiquem ameaças, conseguindo as­sim quantificar os riscos e nível de exposição dosativos da empresa, tendo o conhecimento para identi­ficar comportamento hostis em suas redes no caso denecessidade de Resposta a Incidentes de Segurança.Além disso, também serão capacitados a validar

seus mecanismos de segurança por meio de Pen­Test(Teste de invasão de Rede). Este curso é baseado emmetodologias internacionais para avaliações e testesde segurança, onde cada item de uma rede ou servi­dor é testado, levando em consideração os vários ti­pos de ataques possíveis e ameaças existentes.Alunos, que já concluíram o curso 415, serão capa­

citados a analisar e explorar vulnerabilidades existen­tes que podem ter sido deixadas mesmo após umprocesso de hardening. O profissional precisa conhe­cer como um processo de hardening é realizado, parasaber o que e onde testar se o processo foi realizadocom sucesso. No relatório final, o profissional estarácapacitado, com a visão de um possível invasor, à in­dicar onde as brechas estão e quais os procedimentosque devem ser realizados para se executar uma sinto­nia fina no hardening do sistema.

Alunos, que já concluíram o curso 415, serão ca­pacitados a analisar e explorar vulnerabilidades exis­tentes que podem ter sido deixadas mesmo após umprocesso de hardening. O profissional precisa conhe­cer como um processo de hardening é realizado, parasaber o que e onde testar se o processo foi realizadocom sucesso. No relatório final, o profissional estarácapacitado, com a visão de um possível invasor, à in­dicar onde as brechas estão e quais os procedimentosque devem ser realizados para se executar uma sinto­nia fina no hardening do sistema.

Para mais informações acesse:http://www.4linux.com.br/cursos/cursos­

seguranca.html#curso­406

Março 2012 • segurancadigital.info|48

PARCEIRO 4Linux

PPeenn tteessttTTeessttee ddee IInnvvaassããoo eemm RReeddeess CCoorrppoorraattiivvaass»

IInn tt rroodduuççããooA fraude, segundo o dicionário Aurélio, traz em

uma de suas definições do termo a falsificação, adul­teração tendo como uma de suas características a máfé. Neste contexto, o artigo tem como escopo o usode técnicas investigativas a fraudes praticadas emmeios eletrônicos, tais como dispositivos de computa­ção pessoal, como estações de trabalho, dispositivosportáteis como telefones celulares e demais elemen­tos que visam contribuir com a aplicação de metodo­logias investigativas. Este artigo não tem a pretensãode indicar softwares ou soluções específicos, pois emse tratando de uma metodologia, considera­se quequalquer ferramenta que se destina a produzir o resul­tado desejado atenderá as necessidades propostas pe­las metodologias apresentadas neste documento.

CCoonntteexxttuuaall ii zzaaççããoo ddaa FFrraauuddeeConsiderado como ardil, a fraude visa ludibriar ví­

timas, com o objetivo de ganhos por parte do frauda­dor. O contexto apresentado neste artigo traz comoescopo a experiência do autor Prof. Msc. MarceloLau indicando a atuação prática, baseada na adoçãode metodologias que foram construídas ao longo deestudos de caso1, apresentados ao longo de sua carrei­ra até o momento, indicando cuidados importantesque devem ser tomados pelo perito no processo de re­alização de perícia forense.O primeiro contato do autor ao contexto investiga­

tivo surgiu ainda em um período de atuação deste pro­fissional em instituição financeira brasileira, pormeio do trabalho realizado em um grupo de respostaa incidentes. Um grupo de resposta a incidentes se ca­racteriza como um grupo especializado de profissio­

nais que apresentam como objetivo a identificação deincidentes de segurança. Sabendo que a segurança dainformação é uma das bases do processo investigati­vo, torna­se necessário conhecer um pouco sobre estetermo, principalmente no que tangem os processosinvestigativos, para isto será introduzido o conceitodo controle em segurança. E neste caso há hoje umanorma que determina a necessidade de controles emsegurança que são conhecidos como família ISO270002. No Brasil, esta família de normas é materia­lizada como NBR ISO/IEC 270013, NBR ISO/IEC270024, NBR ISO/IEC 270045, NBR ISO/IEC270056, NBR ISO/IEC 270117. Este artigo não visaexplorar o significado de todas estas normas, nemsua relação com o processo investigativo, entretanto,consideramos importante que qualquer metodologiainvestigativa, tenha como base o processo de trata­mento de resposta a incidentes8 atenda os controlesdefinidos pela NBR ISO/IEC 27002.É possível perceber em um grupo de resposta de

incidentes de uma empresa diversos profissionais dediversas áreas, não somente limitados a profissionaisde tecnologia ou segurança da informação. Esta ob­servação é identificada por este autor em sua experi­ência em instituições financeiras, que tambémpercebeu ao logo de sua carreira, similaridades daadoção deste modelo no restante do mercado. Estacomposição de profissionais possibilita uma sinergiano atendimento de crises que podem levar a perda deconfidencialidade, integridade e disponibilidade dosativos9. O autor resume em poucas palavras que otermo confidencialidade visa manter o sigilo dos ati­vos, enquanto que a integridade visa manter o estadocompleto dos ativos e a disponibilidade, visa manter

Março 2012 • segurancadigital.info|49

PARCEIRO Data Security

AApplliiccaaççããoo ddee ttééccnniiccaass ffoorreennsseess nnaa iinnvveessttiiggaaççããoo eepprreevveennççããoo aa ffrraauuddee ((ppaarrttee 11))»

1 Consideram estudos de caso neste texto, as experiências práticas vividas pelo autor.2 Não se deve confundir a família ISO 27000 com a norma ISO 27000 que contêm uma visão geral evocabulário da norma. Para isto, recomendamos uma visita ao site da ISO/IEC 27000:2009, indicado nasreferências deste artigo.3 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1492.4 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1532.5 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 58103.6 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 1575.7 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 56448.8 O tratamento de resposta a incidentes é definido pela NBR ISO/IEC 27002 por meio do objetivo decontrole Gestão de Incidentes de Segurança da Informação.9 Entendem­se como ativo qualquer coisa que tenha valor para uma organização. Os ativos podem ser classificados como ativostangíveis e ativos intangíveis. Exemplos de ativos podem ser: edificações, equipamentos, serviços, processos, pessoas e demaiselementos que apresentam valor para uma organização.

acessíveis os ativos a quem têm direito.Retornando a questão da fraude, há aspectos im­

portantes a serem considerados quando alinhados aoprocesso de resposta a incidentes, pois o tratamentopode ocorrer em função de eventos ou incidentes.Consideram­se eventos um ou uma série de ocorrênci­as que geram a suspeita da perda de integridade, dis­ponibilidade ou integridade de um ativo. Somentedepois da confirmação de um incidente é que pode­mos afirmar que este realmente é um incidente de se­gurança. O processo investigativo de fraude podeabranger tanto análise de eventos, quanto de inciden­tes, pois em diversos momentos, antes de um atacanteou fraudador obter sucesso à aplicação de fraude, estetenta insistentemente realizar tentativas que podemser registradas em sistemas e serem investigadas deforma apropriada. Este processo não será detalhadocom profundidade neste artigo, por não ser o objetoprincipal deste documento, pois o objetivo é informarao leitor a metodologia investigativa adotada em inci­dentes de segurança.Considerando que a experiência inicial do autor es­

tá relacionada à atuação de processos investigativosrelacionados à prevenção a fraude na atuação em umaequipe de resposta a incidentes, devemos entender ametodologia apresentada neste artigo, reflete o resul­tado de uma análise crítica da atuação em forense pormeio de processo empírico analítico10 adotado peloautor e o resultado das observações sobre os fatoresde sucesso nestes processos investigativos. Com isto,traçamos um paralelo entre a metodologia e as obser­vações realizadas em campo pelo autor que são mate­rializados pelo parágrafo seguinte deste artigo.Os primeiros incidentes tratados pela equipe de

resposta a incidentes presenciados pelo autor estavamrelacionados à fraude financeira e eram relacionados

às tentativas de envio de arquivos anexados em cor­reio eletrônico a vítimas. Neste momento eram aindautilizados como temas das mensagens eletrônicas,nomes e conteúdos que se faziam passar por institui­ções financeiras.Este tipo de ardil11 hoje é muito difundido no

mundo inteiro, onde se consideram alguns elementosque corroboram a insistência sobre este método atéos dias atuais. O primeiro elemento é o fato de seconsiderar que a fraude em meios eletrônicos podeocorrer em princípio por meio de três elementos: oemissor, o meio e o receptor. O emissor é em nossocaso o provedor do serviço eletrônico, muitas vezesdisponibilizados em canais como a Internet, entretan­to não devemos esquecer que demais serviços eletrô­nicos12 não disponíveis somente neste meio decomunicação13. O meio trata da infraestrutura de co­municação entre o emissor e o receptor. Este meiopode ser a Internet ou qualquer outro meio que possi­bilite a conectividade destes elementos. Por fim o re­ceptor que é em nosso caso o cliente que desejaacessar os serviços eletrônicos disponíveis. Hoje oponto mais suscetível à fraude é o receptor, e pormeios dos parágrafos seguintes deste artigo, o autortraz a base científica para esta afirmação.Quando contextualizamos neste artigo o emissor

no processo investigativo e de prevenção a fraudes,identificamos como ponto focal os serviços disponi­bilizados por instituições financeiras. Se tomarmoscomo base a comparação da robustez dos mecanis­mos de proteção e controles entre o emissor e recep­tor, percebemos que o emissor apresenta mecanismosde proteção que são mais robustos comparados aosmecanismos e controles apresentados pelo receptor,isto se deve pelo fato do emissor adotar arquiteturasde segurança não adotados em geral pelo receptor.

Março 2012 • segurancadigital.info|50

10 O processo empírico analítico se baseia na condução de diversas ações, baseadas em uma hipótese. Uma vez que a ação resulte emvalidação da hipótese para formulação de uma metodologia, para que esta possa ser utilizada com restrições em algumas generaliza­ções. Estas restrições estão relacionadas às similaridades dos eventos observados e sua aplicação prática no processo investigativo fo­rense.11 As técnicas em parte são similares às presenciadas nos primeiros incidentes, entretanto há algumas variações quanto à aplicação defraude em meios eletrônicos, dentre eles a não obrigatoriedade do envio de anexos em mensagens eletrônicas, que foi substituído peloenvio de links que possibilitam o download de arquivos maliciosos, que uma vez instalados permitem a captura e envio de informaçãode dados coletados da vítima ao fraudador por meios de comunicação disponíveis. Outro ponto evolutivo das ameaças é a existência detemas de mensagens eletrônicas que não utilizam necessariamente temas de instituições financeiras, podendo se passar por outros te­mas que visam ludibriar a vítima.12 Estes serviços eletrônicos mencionados trazem em seu significado, o uso de qualquer mecanismo ou sistema eletrônico que permitarealizar uma operação computacional. Neste caso, podemos incluir como exemplo os sistemas de pagamento por cartão de crédito,podendo também ser tão simples como as operações realizadas em telefones celulares como o envio de SMS (Short Message).13 Estes demais meios de comunicação são caracterizados como comunicações em link de dados, que podem estar restritos as redescorporativas e demais outras denominações como intranets e extranets.

PARCEIRO Data Security

Neste caso fazem parte dos itens desta arquitetura ele­mentos de filtragem e monitoramento em segurançada informação, tais como Firewall14, IDS15/IPS16, An­tivírus17, Hardening18 e demais elementos que pos­sam contribuir com a segurança do emissor por meioda implementação destes mecanismos em camada19.Destes mecanismos de proteção mencionados, em ge­ral o receptor conta com proteções apenas baseadasem Antivírus, não possuindo as mesmas camadas deproteção hoje existentes no emissor.O meio, que é algo ainda não foi mencionado com

detalhes neste artigo, é considerado como um meiobem protegido, principalmente quando estamos consi­derando comunicação cifrada, ou criptografada. Acriptografia neste caso é a implementação de tecnolo­gia que permite o embaralhamento de informações,sejam destinadas ao armazenamento ou transmissãode dados. Em no escopo deste artigo, o meio utiliza­do em comunicações para transações financeiras, emgeral é a Internet, quando tratamos de contextualizara fraude em meios eletrônicos envolvendo clientes einstituições financeiras. Neste caso é padrão o uso deSSL20 (Security Socket Layer) como camada de emba­ralhamento destes dados. O SSL na prática é a adoçãode certificado digital no serviço que se deseja disponi­bilizar. Neste caso o certificado digital é representadopor um conjunto de bits21 gerados pelo sistema de cer­tificação digital que provê a certeza da identidade do

serviço acessado, possibilitando pelo embaralhamen­to a implementação da confidencialidade sobre omeio de comunicação.Com esta descrição comparativa existente nos pa­

rágrafos anteriores deste artigo se percebe que o elomais fraco em termos de segurança da informação éo receptor, neste caso o usuário do serviço que deveadotar mecanismos de controle para sua proteção.Estes controles podem ser caracterizados pela exis­tência de Antivírus atualizado constantemente e con­figuração segura do sistema operacional eaplicativos, processo similar às técnicas de Harde­ning. Baseado neste cenário, identificaremos algumastécnicas e metodologias investigativas para o proces­so de confirmação da existência de fraude e proposi­ção de metodologias investigativas, disponíveis nospróximos capítulos deste artigo.

MMeettooddoolloogg iiaa ddee IIddeenntt ii ff ii ccaaççããoo ddaa FFrraauuddeeDeve­se considerar que nem toda fraude identifi­

cada como bem sucedida sistemicamente (ou seja,identificado nos sistemas seja por denúncia ou filtrosde detecção de fraude), indica imediatamente a víti­ma da fraude. Neste aspecto, é necessário o investi­mento de tempo e conhecimento investigativo pararealizar o processo de confirmação na identificaçãodo fraudador e a vítima, ou as vítimas de uma fraude.Há situações que se identifica a vítima como frau­

Março 2012 • segurancadigital.info|51

14 Firewall é uma implementação de filtro de pacotes que permite a inspeção de seu conteúdo de acordo com o protocolo de comunica­ção, em geral baseado em TCP/IP (Transmission Control Protocol/ Internet Protocol). O Firewall pode ser implementado através deequipamentos especializados para o desempenho desta função ou configurados em software que podem ser utilizados sobre um sistemaoperacional de livre escolha do responsável pela implementação, isto é, se o software tiver suporte adequado para ser instalado na baseoperacional desejada.15 Intrusion Detection System. É um sistema de detecção de intrusão que pode ser baseado na implementação host ou rede. Em geralestes sistemas são configurados apenas para alertar os responsáveis pela segurança da existência de eventos ou incidentes de seguran­ça, não envolvendo uma resposta do sistema aos ataques por meio do envio de pacotes TCP/IP.16 Intrusion Prevention System. É um sistema que além de detectar a intrusão, tem como objetivo o envio de pacotes TCP/IP possibili­tando a ação de contramedidas contra ataques identificados no meio de comunicação originada pelo sistema.17 Sistema de detecção de vírus, programas de computador que tem o objetivo de identificar demais ameaças conhecidas como malwa­re (Malicious Software).18 Hardening é um procedimento realizado para fortificar o sistema operacional e aplicativos por meio da configuração segura do mes­mo. Este procedimento se baseia na configuração de permissionamentos restritos ao sistema, assim como a aplicação de correções desegurança e instalação apenas dos aplicativos e serviços necessários, evitando que o sistema seja exposto de forma desnecessária àsameaças tratadasem segurança da informação.19A arquitetura em camada consiste na aplicação de sucessivos mecanismos de proteção que visam proteger os ativos contra a perda deconfidencialidade, integridade e disponibilidade.20 Recomendo aos interessados em se aprofundar mais sobre o tema a leitura do livro SSL and TLS: theory and practice, referenciadona bibliografia deste artigo.21 Bit é a menor unidade binária utilizada no processo de armazenamento e transmissão de informações em sistemas informatizados,sugiro como aprofundamento a leitura de um livro que aborda os princípios da Eletrônica no livro Introduction to Digital Electronics,referenciado na bibliografia deste artigo.

PARCEIRO Data Security

dador, onde este simula a ocorrência de fraude, visan­do ganho financeiro. Isto é conhecido como auto frau­de. A auto fraude pode ser ilustrada em serviçoscomo seguros, onde a suposta vítima, desejando ter ovalor correspondente de seu veículo simulado, provi­dencia o desaparecimento de seu próprio veículo,com o objetivo do recebimento do prêmio do seguro.Em meios eletrônicos, uma suposta vítima tambémpode vir a transferir valores financeiros ou mesmo re­alizar resgates em sua conta corrente, alegando a exis­tência de fraude. Neste contexto, é importante antesde qualquer adoção de metodologia investigativa, con­siderar o processo de confirmação do incidente ou dafraude.Este processo de confirmação inclui a análise de al­

guns elementos externos ao equipamento do recep­tor22, complementado pela análise de evidênciasdisponíveis no equipamento da suposta vítima. Esteprocesso formal23 visa confirmar a existência da ocor­rência da fraude.Caso seja confirmada a ocorrência de uma fraude,

considera­se importante a preservação de evidênciasque possibilite a identificação de provas disponíveisno meio eletrônico, em geral, um computador pesso­al24, que possa responder alguns pontos importantesrelacionados ao incidente. Estes pontos são derivadosda metodologia 5W1H25 (What, Where, When, Why,How e Who), que traduzidos26 são respectivamente(O que, Onde, Quando, Porque, Como e Por Quem):

Março 2012 • segurancadigital.info|52

22 Dentre estes elementos externos estão a análise de registros gerados pelo emissor pelas transações financeiras.23 A formalização é necessária, pois todo documento gerado pelo processo investigativo deve ser realizado de acordo com a lei e so­mente um processo documentado, pode subsidiar as partes em uma disputa legal, onde o perito será base de decisões do magistrado pormeio do laudo pericial.24 Considera­se um computador pessoal, pois a vítima de uma fraude, em geral utiliza um computador, seja este de uso particular oupertencente à empresa que a vítima trabalha.25Metodologia também identificada no livro Advances in hybrid information technology, referenciado na bibliografia deste artigo.26 Esta não é uma tradução literal somente, é a interpretação e contextualização dada pelo autor quanto ao significado desta metodolo­gia.27 Os significados fornecidos pelo princípio foram fornecidos pelo autor deste artigo.28 Estes princípios são considerados pelo autor os mais adequados no processo metodológico com computação forense, sendo conside­rados por muitos os processos clássicos, entretanto não podemos deixar de lado outros processos que possam ser adotados pelo perito,que de alguma forma ou outra devem seguir uma sequência estruturada e ordenada de ações.

Onde ocorreu a fraude:

Confirmação do computador ou computadoresque podem ser sido utilizados para a ocorrência

Quando ocorreu:

Visa delimitar a linha de tempo sobre o conjun­to de evidências identificadas nos dois itens an­teriores do 5W1H;

Porque ocorreu a fraude:

Em geral as fraudes que ocorrem neste meio vi­sam como benefício o fraudador, entretanto,podemos considerar o benefício de outros en­volvidos que podem ser descobertos no proces­so investigativo;

Como ocorreu a fraude:

Visa organizar em linha de tempo as evidênciasidentificadas nos itens anteriores do 5W1H; e

Quem cometeu a fraude:

Este item visa revelar a identidade de quem co­laborou com a ocorrência da fraude.

da fraude;

Vale ressaltar que esta é uma proposta metodoló­gica recomendada pelo autor e que esta pode seraplicável em alguns processos investigativos, entre­tanto não se têm como pretensão a generalizaçãodesta metodologia sem a devida validação dos mes­mos por meio do método científico.Esta metodologia ainda deve estar atrelada ao pro­

cesso formal em forense computacional, que visaatender alguns princípios27 em forense computacio­nal28, tais como:

O que aconteceu:

Identificação de evidências e ações realizadasde programas maliciosos, ou vulnerabilidadesexploradas sobre o sistema afetado que podemter levado a ocorrência da fraude;

Identificação da Evidência:

Método utilizado para identificar a evidência aser coletada e analisada;

Preservação da Evidência:

Método utilizado para assegurar a integridadepor meio da realização de procedimentos de co­leta, transporte e armazenamento seguro da evi­dência identificada;

PARCEIRO Data Security

Estes princípios em forense computacional tam­bém respeitam um padrão estabelecido em 2002, co­nhecido como RFC 322729, intitulado Guidelines forEvidence Collection and Archiving, sendo um conjun­to de boas práticas destinadas às práticas forenses,possibilitando ações de identificação, preservação,análise e apresentação dos resultados de uma análiseforense, apesar do autor considerar que estas práticasmencionadas são incipientes comparadas com as téc­nicas hoje conhecidas e praticadas pelos profissionaisem investigações. Algumas das práticas adotadas nopróximo item deste artigo visam aprofundar algunsdos princípios trazidos por este padrão.Em termos de padrão, vale mencionar que está em

desenvolvimento uma norma intitulada como ISO2703730, que deve complementar a RFC31. Este docu­mento intitulado como Evidence Acquisition Procedu­re for Digital Forensics32, deve compor as váriaspráticas hoje adotadas pelos profissionais que hojeatuam no âmbito investigativo de evidências digitais.A partir da adoção destes princípios e modelos me­

todológicos, considera­se importante entender a apli­cação prática deste modelo no processo investigativorelacionado à identificação de fraudes. Esta materiali­zação da metodologia ocorre por meio de atividades

sequenciais e dependentes a execução de tarefas quepossibilitam a aplicação prática destes modelos noprocesso de investigação de fraudes, as quais podemser lidas ao longo da continuação deste artigo.

AAppll ii ccaaççããoo IInnvveesstt iiggaatt ii vvaa ddaa MMeettooddoolloogg iiaaddee IIddeenntt ii ff ii ccaaççããoo ddaa FFrraauuddeeO perito ao se deparar com uma evidência deve

ser capaz de tratar este conteúdo de forma adequadaa fim de manter a integridade sobre a mesma, isto ga­rantirá a obtenção dos dados definidos pelo modelo5W1H, assim como assegura a certeza do perito so­bre as conclusões de uma evidência analisada semcontaminações que possam ter sido adicionadas peloperito ou processo adotado pelo perito, de acordocom os princípios forenses já explorados no item an­terior deste artigo.Em nosso modelo, relacionado à fraude, em geral

a evidência estará relacionada a dispositivos analisa­dos da vítima33, entretanto considera­se importanteavaliar nesta mesma metodologia investigativa a ne­cessidade de se adotar procedimentos similares noprocesso de análise de evidências coletadas de frau­dadores suspeitos, que pode não se limitar somente aequipamentos de uso pessoal como computadores,dispositivos de armazenamento, podendo se estendertambém com a análise de evidências disponíveis emsistemas de correio eletrônico, navegação entre ou­tros disponíveis em outros ambientes e/ou provedo­res que podem assegurar a rastreabilidade da ação dofraudador sobre uma vítima.O primeiro procedimento a ser adotado pelo perito

ao se deparar com a vítima de uma fraude é identifi­car por meio de depoimento34 o dispositivo ou equi­pamento35 utilizado pela vítima relacionado ao

Março 2012 • segurancadigital.info|53

29 O conteúdo da RFC 3227 pode ser acesso na íntegra em: http://www.ietf.org/rfc/rfc3227.txt30 O autor desconhece uma fonte confiável que disponibilize uma versão preliminar desta norma.31 RFC tem como acrônimo, as palavras Request for Comments. Hoje as RFCs são padrões aceitos pelo mercado de tecnologia.32 Esta norma está sendo desenvolvida por um fórum Intitulado FIRST, dentro de um grupo denominado SIG (Special Interest Groups).Mais dados podem ser obtidos no site http://www.first.org/.33 Outros elementos poderiam ser escolhidos na aplicação desta metodologia, entretanto, escolheu­se identificação de evidências de ví­timas, pois este em geral é o ponto inicial gerador de uma investigação, sendo que as evidências, neste caso, se encontram na maioriadas vezes disponíveis ao processo investigativo.34 Não é somente por depoimento que esta identificação é realizada, pois a identificação de evidências por meio de registros geradospor sistemas permite também a identificação de evidências. Quando se menciona depoimento, isto não significa que o processo tam­bém se baseará em algo somente descritivo. Há espaço neste depoimento o informe de detalhes da vítima informando detalhes que pos­sam ser acessíveis aos sistemas informatizados apontados pela vítima e acessíveis no momento da prestação deste depoimento.35 Apesar de estes termos estarem no singular, isto não significa que os itens são excludentes, ou apenas um dos equipamentos devemser considerados no processo pericial. Deve­se considerar todo e qualquer equipamento ou dispositivo que tenha sido informado pelavítima. Na prática, a maioria dos usuários de meios informatizados, utilizam equipamentos em ambiente de trabalho e outro equipa­mento para uso de atividades particulares, mesmo que em muitos momentos estes equipamentos sejam disponibilizados por estabeleci­mentos públicos como cybercafés.

Análise da Evidência:

Método adotado para interpretar e identificarprovas contidas nas evidências preservadas; e

Apresentação dos Resultados da AnáliseForense:Método adotado para a geração de documentosque possibilitem a interpretação dos fatos iden­tificados na etapa de análise de evidência, devi­damente contextualizados à fraude.

PARCEIRO Data Security

serviço acessado, relacionado à ocorrência de fraude.Dentre os cenários36 que podem ser apresentados a ví­tima pode identificar dispositivos como:

Ainda pode se entender como computadores, dis­positivos que tenham a capacidade de navegação à in­ternet e realização de transações, se classificando

neste conjunto equipamentos como smartphones38 edemais dispositivos portáteis com a capacidade deconectividade, navegabilidade e processamento.Nem sempre a vítima saberá identificar os dispo­

sitivos utilizados e nem sempre os dispositivos iden­tificados podem ser periciados, pois alguns delespodem não terem autorização de seu proprietário pa­ra realização da coleta, algo que pode ocorrer quandoidentificado que uma das evidências se encontra dis­ponível em ambiente de trabalho e não autorizadospelo proprietário do dispositivo39; ou mesmo impos­sibilitados de se realizar a coleta em função do custoque pode ser proibitivo40, relacionado ao desloca­mento41 do perito ao local que se encontra a evidên­cia a ser coletada, ou mesmo a inexistência demeios42 para fazer a extração das evidências comopode ocorrer em sistemas que o perito não possui tec­nologia43 para a remoção das evidências em processode coleta.Na prática, diversas atividades investigativas rela­

cionadas à fraude e alguns outros ilícitos não reque­rem que o perito realize esta tarefa, pois a evidênciamuitas vezes apresentada pelo perito já se encontradisponível para análise, não havendo a necessidadede sua participação nesta etapa do processo. Entre­tanto, é importante que o perito conheça a metodolo­gia, pois este pode avaliar se outro profissional que

Março 2012 • segurancadigital.info|54

36 Estes cenários segundo experiência do autor permitiu identificar esta dicotomia, apresentada. Nada impede que variações possam serpropostas a esta classificação apresentada. Esta divisão no ponto de vista do autor facilita a adoção de medidas investigativas, pois pre­missas distintas são adotadas na investigação dos dois tipos de cenários apresentados.37 Devemos considerar locais como escolas, universidades, tele centros (centros informatizados disponibilizados pelo governo aos ci­dadãos) e computadores que mesmo destinados ao ambiente de trabalho ou mesmo destinados ao uso residencial particular contémcom uma única credencial de acesso, ou diversas credenciais de acesso, mas com direitos administrativos sobre o sistema operacional.Neste caso, mesmo que o acesso seja realizado por diversos usuários distintos, um programa de computador com finalidade maliciosa,como por exemplo, a captura de dados de uma vítima, pode se tornar ativo para todos os usuários do computador, mesmo que somenteum dos usuários tenha sido responsável por sua instalação acidental.38 Entende­se como um dispositivo que apresenta as funcionalidades de um telefone celular com a integração de demais aplicativos aosistema operacional que podem estar relacionados à comunicação de dados, aplicativos de produtividade ao usuário, entretenimento,entre outros.39 Esta negação em relação à autorização pode ocorrer quando o equipamento a ser periciado tiver como justificativa, o uso essencialque pode colocar em prejuízo negócios ou prejuízo a pessoas, incluindo clientes, fornecedores ou funcionários.40 Consideram­se como custo proibitivo, situações que a coleta de evidência requer, por exemplo, a aquisição de sistemas especializa­dos para a replicação do mesmo ambiente que está sendo coletado. Oferece­se como exemplo, sistemas especializados de armazena­mentos de mídias como fitotecas e demais equipamentos que não fazem parte da tecnologia utilizada comumente pelos profissionais detodas as áreas como Mainframe (sistemas de grande porte especializado no processamento de informações quepossuem arquitetura operacional, além de hardware e software específicos para este processamento).41 No caso de custos relacionados ao deslocamento, estas limitações estão mais relacionadas a perícias que demandam existência detransporte regular ou adequado à localidade que requer a realização de perícia.42 Inexistência de meios pode ocorrer como a falta de infraestrutura adequada de energia elétrica, assim como dispositivos necessáriospara fazer coleta que não fazem parte do conjunto de ferramentas disponibilizado pelo perito.43 O perito pode não possuir tecnologia, como foi o caso mencionado de sistemas de armazenamento de fitas na nota de rodapé 40. En­tretanto, o perito pode ser desprovido ainda de conhecimento teórico e prático de como se realizar a perícia em sistemas que ele não te­nha familiaridade.

Computadores pessoais de uso exclusivamentepessoal:

Caracterizam­se por meio de computadores deuso doméstico residencial ou uso profissionalem ambiente de trabalho que tem como carac­terística o uso por apenas um usuário, neste ca­so uso exclusivo da vítima; e

Computadores pessoais de uso compartilhado:

Caracterizam­se por meio de computadores deuso compartilhado. Em ambiente residencialeste dispositivo pode ser compartilhado entreseus familiares, em ambiente corporativo, com­partilhado entre outros colegas de trabalho.Ainda podem surgir demais outros equipamen­tos compartilhados como aqueles disponibiliza­dos em ambiente comunitários, sejam elesambientes acadêmicos, hotéis, cybercafés e de­mais estabelecimentos37 que destinam seusequipamentos para uso comum.

PARCEIRO Data Security

esteve presente na cena do crime seguiu todas as reco­mendações adotadas na metodologia, pois identificarfalhas nos processos de coleta pode significar a im­pugnação de uma evidência, podendo em alguns ca­sos, ser considerada nula qualquer conclusão obtidano processo de análise forense.Considera­se que uma vez que seja viável a coleta

de evidências, que esta se realize aos dispositivos re­conhecidos pela vítima e demais membros presentesno processo investigativo na cena do crime e acessí­veis ao processo de coleta, de tal forma que isto se ba­seie em dois pontos44 principais:

Março 2012 • segurancadigital.info|55

44 Estes pontos são considerados essenciais, pois diversas evidências somente são obtidas por evidências voláteis, apesar de se perceberna prática que o perito, em geral, irá obter somente para análise uma evidência coletada por outro profissional não tendo mais a possi­bilidade do resgate da evidência volátil.45 RandomAccess Memory. Forma de armazenamento volátil de dados composto por circuitos integrados.46 Processos são considerados programas em execução sobre o sistema operacional. Por meio da coleta de processos, é possível identi­ficar características como local de execução do programa de computador e demais informações que sejam úteis na identificação deprogramas de computador destinados a obter dados e informações de computadores de vítimas.47 Consideram­se como áreas temporárias aquelas que fazem o armazenamento em arquivo ou partição de conteúdos voláteis acessadospela memória do computador. Neste caso faz parte desta descrição, áreas de paginação, conhecidos também como áreas de swap.48A tabela de comunicação permite identificar entre outras coisas os processos em execução, atrelados a portas de comunicação abertase respectivos endereços IP externos ao computador utilizados para a troca de dados. Diversos programas destinados ao furto de infor­mações estabelecem canais de comunicação permitindo que dados da vítima sejam enviados por meio deste método.49 Estas mídias podem ser óticas, magnéticas ou disponibilizadas em outros meios como papel.50 É fato que a maior parte das evidências analisadas por peritos são coletadas por outros profissionais, se encontrando disponível ape­nas o equipamento ou somente a mídia para os processos de preservação e análise da evidência.51 O acesso restrito pode ser dado ao se descobrir uma evidência como um computador ainda ligado com usuário autenticado no siste­ma operacional, mas com a tela bloqueada ao acesso. Apesar de esta ser uma dificuldade, é possível se utilizar de técnicas que fazem acaptura direta da memória RAM por resfriamento. Exemplo desta técnica pode ser consultado por meio de um trabalho acadêmico inti­tulado “Cold Boot Attacks on Encryption Keys”, disponibilizado pela Universidade de Princeton por meio dolink: http://citp.princeton.edu/memory/.

Coleta de evidências voláteis:

Visa coletar características da evidência, quan­do este se encontra operacional. Dentre estascaracterísticas se incluem a coleta de dados damemória RAM45, coleta de processos46, áreastemporárias47 e comunicações estabelecidas en­tre a máquina da vítima e o ambiente de rede48:e;

Coleta de evidências não voláteis:

Visa coletar os dispositivos de armazenamentoda evidência, onde se incluí disco rígido e mí­dias disponibilizadas49 pela vítima.

As evidências em processo de análise de fraude,muitas vezes não se encontram disponíveis na formade evidências voláteis, já que diversos equipamentose dispositivos coletados, podem se encontrar desliga­dos50 ou com acesso restrito51 a usuários que conhe­

çam as credenciais de acesso.

CCoonntt iinnuuaa nnaa pprróóxx iimmaa eeddiiççããoo......

PARCEIRO Data Security

Na primeira parte deste artigo nós falamos um pou­co sobre ataques que ocorrem diariamentena web­sites que utilizam CMSs convencionais, tais

como Xoops, WordPress, Joomla, WHMCS e tantos ou­tros. Isto ocorre geralmente pelo fato do sistema estar emuma versão desatualizada e, portanto, vulnerável ­ sim,quanto maior o número de usuários de um sistema, maiora possibilidade de se descobrirem novos bugs e por isto,as constantes atualizações periódicas ­ ou por estes siste­mas estarem utilizando plugins comprometidos, obtidosem fontes não seguras ou simplesmente vulneráveis, comofoi o caso de aplicativos que usam o script TimThumb de­satualizado mostrado anteriormente.Nesta parte, vamos falar do lado não tão glamuro­

so da força: os CMS pessoais. Mas o que são estes sis­temas? Nós geralmente chamamos de CMS pessoais,todo e qualquer sistema que não possui uma comuni­dade tão abrangente quanto a de CMS convencionais,são os famosos sistemas "por demanda", tão comu­mente utilizados por algumas empresas que planejamdisponibilizar seus serviços na grande rede sem recor­rer a um sistema de terceiros. Legal, tá tudo muitobom, tá tudo muito bonito, mas onde estão os proble­mas?O grande problema neste tipo de sistema é justa­

mente a falta de uma comunidade abrangente. Querum motivo? A demanda destes sistemas geralmente éfocada na rapidez da entrega, quanto mais rápido umserviço for ao ar, melhor, mas e a segurança, onde fi­ca? Quando um sistema tem seu desenvolvimento fo­cado apenas na rapidez da entrega ao cliente,geralmente são esquecidas algumas etapas importan­tes no quesito segurança. O sistema "beta" não é testa­do em condições abusivas e na maioria dos casos,sobem com bugs que são facilmente explorados porexploits convencionais e consequentemente, causan­do transtorno a empresa que optou por utilizar um sis­tema ainda prematuro.Diariamente nós encontramos uma grande quanti­

dade de graves falhas de segurança, algumas delas, in­clusive básicas, tais como scripts de gerenciamentode sistema/upload de arquivos sem autenticação, utili­zação de funções antigas e com falhas de segurançaconhecidas na programação dos scripts, senhas fá­ceis, senhas sendo armazenadas de forma inseguraem bancos de dados (quando estes são usados) ou emarquivos de texto plano acessíveis para a web.Recomendamos a todos que utilizam este ramo de

sistemas a testarem os mesmos exaustivamente a fimde verificar se todos os quesitos de segurança são de­vidamente correspondidos e que nenhuma etapa du­rante o desenvolvimento seja deixada para o lado.Lembrem­se, é melhor um serviço demorar um pou­co mais a ser ativado e quando entrar em produçãoser um sistema seguro, do que um sistema ir "ao ar"rapidamente e possuir uma série de falhas de segu­rança que podem comprometer não só as informa­ções de seus clientes, como também pode denegrir aimagem de sua empresa diante do seu público alvo.

Março 2012 • segurancadigital.info|56

PARCEIRO HostDime

Desafios da Gestão de Segurança em ServidoresCompartilhados (Parte II)»

Escrito por Renê BarbosaAnalista de Segurançana HostDime Brasil.

OCompactHSM é um Módulo de Segurança emHardware (do inglês, “Hardware Security Modu­le”) de alto desempenho com interface USB, que

oferece uma solução de baixo custo para aplicações de cer­tificação digital e criptografia em geral usualmente basea­das em tokens ou smartcards, ressaltando a totalcompatibilidade em ambientes virtualizados.Os processos de certificação digital, tais como a

gestão eletrônica de documentos e a emissão de notasfiscais eletrônicas, criaram uma demanda por disposi­tivos criptográficos de alto desempenho, alta seguran­ça e baixo custo. Contudo, os dispositivoscriptográficos disponíveis no mercado foram projeta­dos para suprir necessidades específicas de outros ti­pos de soluções, por exemplo, tokens e smartcardsresolvem problemas de identificação, enquantoHSMs comuns resolvem problemas de PKI e placasaceleradoras criptográficas resolvem problemas de co­nexões SSL.O CompactHSM foi criado para suprir a necessida­

de específica de soluções de certificação digital quenecessitam de alto desempenho e segurança, mas quenão necessitam de funcionalidades avançadas de ge­rência de chaves.

PPrr iinncc iippaaiiss CCaarraacctteerr ííss tt ii ccaassO CompactHSM também é extremamente escalá­

vel, permitindo a integração de mais de um equipa­mento à solução, e garantindo a continuidade donegócio através de mecanismos de backup por espe­lhamento e hot swap. O CompactHSM pode ser usa­do, em integração a sistemas, para:Proporcionar alto desempenho para assinatura e ci­

fração em quaisquer aplicações que utilizem APIsPKCS#11, CSP ou JCA;Gerar e armazenar chaves de certificados ICP­Bra­

sil A1 ou A3;Proporcionar fácil esquema de bac­kup/recuperação e balanceamento de carga;Cifração de comunicações / links seguros.

PPrr iinncc iippaaiiss BBeenneeff íícc iioossAlto desempenho (até 200 assinaturas RSA por se­

gundo);Conectividade USB v2.0;Armazenamento seguro de chaves criptográficas;Permite instalação interna em servidores ou com­

putadores desktop;

Permite o uso em notebooks;Permite distribuição de carga e replicação;APIs padrão de mercado PKCS11, CSP, JCA;Proteção física avançada;Permite uso em servidores virtualizados;Compatível FIPS PUB 140­2, ICP­Brasil e PCI;Desenvolvimento 100% nacional e arquitetura

100% auditável;Permite customização sob demanda;Gerador de números aleatórios (TRNG) e Relógio

de Tempo Real (RTC) em hardware;Custo altamente competitivo (consultas: conta­

to@kryptus.com).

SSoobbrree aa KKrryyppttuuss ((hhtt ttpp:: ////wwwwww..kkrryyppttuuss..ccoomm//))Empresa 100% brasileira, fundada em 2003 na ci­

dade de Campinas/SP, a Kryptus já desenvolveu umagama de soluções de hardware, firmware e softwarepara clientes Estatais e Privados variados, incluindodesde semicondutores até aplicações criptográficasde alto desempenho, se estabelecendo como a líderbrasileira em pesquisa, desenvolvimento e fabricaçãode hardware seguro para aplicações críticas.Os clientes Kryptus procuram soluções para pro­

blemas onde um alto nível de segurança e o domíniotecnológico são fatores fundamentais. No âmbito go­vernamental, soluções Kryptus protegem sistemas,dados e comunicações tão críticas como a Infraestru­tura de Chaves Públicas Brasileira (ICP­Brasil), aUrna Eletrônica Brasileira e Comunicações Governa­mentais.

Março 2012 • segurancadigital.info|57

PARCEIRO Kryptus

AA KKrryyppttuuss llaannççaa nnoo mmeerrccaaddoo ooeeqquuiippaammeennttoo CCoommppaaccttHHSSMM»

VVííttoo rr ((nnoo SSii ttee))Parabéns pela revista, eu que estou terminando a gra­duação e pretendo seguir na área de segurança da in­formação, estou gostando demais, pois os artigossão sempre muito bons e bem feitos!

JJoosséé SSii ll vvaa ((nnoo SSii ttee))Estava estes dias a conversar com o Fábio (adm), efalei que séria ótimo a inserção de tutoriais em edi­ções futuras e ainda neste email sugerir um tutorialsobre SSH e quando foi ontem recebi um email doFábio falando que já na 5ª edição séria publicadoum artigo conforme meu pedido. Muito obrigado!

DDaattaa SSeeccuurr ii tt yy ((nnoo TTwwii tt tteerr ))@_SegDigital ­ Parabéns! Que venham os 32, 64,128 mil downloads da Revista Segurança Digital!

FFiinnddeeii ss ,, AA.. ((nnoo TTwwii tt tteerr ))@_SegDigital: muito bacana a revista. Equipe do Se­gurança Digital está de parabéns! Ótimas reporta­gens!

YYuurr ii DDiiooggeenneess ((nnoo TTwwii tt tteerr ))Começando a escrever o artigo sobre #Segurançaem Cloud Computing p/ a 5a. Edição da Revista@_SegDigital, obrigado @_SDinfo pelo convite !

DDiieeggoo FFeerr rreeii rraa JJoobb ((nnoo TTwwii tt tteerr ))Agora seguindo a Revista @_SegDigital ­ Recomen­to galera!!!

MMaarrccooss TT.. SSii ll vvaa ((ppoorr EE­­mmaaii ll ))Boa noite!Procurando por sites de segurança encontrei o segu­rança digital, então resolvi ler a primeira edição darevista. Acabei lendo as 4 edições. Quero parabeni­zá­los pelo projeto e que continuem publicando vos­sas experiências e assim nós leitores teremos bonsconteúdos sobre segurança. Em particular a parteforense foi ótima e muito explicativa.

HHeennrr ii qquuee MMoott ttaa ((ppoorr EE­­mmaaii ll ))Primeiramente gostaria de parabenizá­los pelas edi­ções anteriores e em especial a 3ª edição da revista"Segurança Digital". Como um profundo conhece­dor na área da computação e interessado pela áreada segurança estou procurando me aperfeiçoar na"arte" da segurança da informação realizando cursose lendo materiais de fontes confiáveis (como vo­cês).

PPaauu lloo ((ppoorr EE­­mmaaii ll ))Equipe Segurança Digital, parabéns pelo trabalhode vocês. Sou um apaixonado por tecnologia, emespecial pela área de segurança. Passei a conheceresta revista por um amigo que me indicou e reco­mendou muito bem sua leitura, sucesso para vocês emais uma vez parabéns pela iniciativa.

|58

COLUNA DO LEITOR

EMAILS,SUGESTÕES ECOMENTÁRIOSEsta seção foi criada para quepossamos compartilhar com você leitor,o que andam falando da gente por aí...Contribua para com este projeto:(contato@segurancadigital.info).

Março 2012 • segurancadigital.info

Segurança Digital5ª Edição ­ Março de 2012

@_SegDigital segurancadigital

www.segurancadigital.info