FACULDADE CENECISTA DE VARGINHA

CURSO DE BACHAREL EM SISTEMAS DE INFORMAÇÃO

HEULER MENDES NAVES

SEGURANÇA DE REDES

UTILIZANDO IDS´s E HONEYPOTS

Varginha

2010

HEULER MENDES NAVES

SEGURANÇA DE REDES

UTILIZANDO IDS´s E HONEYPOTS

Varginha

2010

Trabalho de conclusão de curso apresentado à Faculdade Cenecista de Varginha como parte dos requisitos para obtenção do grau de Bacharel em Sistemas de Informação.

HEULER MENDES NAVES

SEGURANÇA DE REDES

UTILIZANDO IDS´s E HONEYPOTS

Trabalho apresentado ao Curso de Bacharel em Sistemas de Informação da Faculdade

Cenecista de Varginha como parte dos requisitos para conclusão do curso. Submetida à

aprovação da banca examinadora composta pelos seguintes membros.

_____________________________________Prof. Fulano - Orientador

_____________________________________Prof. Fulano - Membro

_____________________________________Prof. Fulano - Membro

Varginha, de de 2010

Dedico este trabalho primeiramente a Deus por me dar a oportunidade

de ser perseverante nesta etapa da minha vida, a meus pais que sempre apoiaram durante toda

esta jornada e a minha noiva Adriele que sempre me incentivou a seguir em frente. Dedico

também a todos os professores que sempre estiveram prontos para orientar e ajudar em todas

as etapas deste projeto.

RESUMO

Esta monografia tem por finalidade a implementação de um sistema de segurança

de redes de computadores. Portanto ela se sustenta e é elaborada obedecendo a normas de

segurança da informação e as melhores praticas relacionadas à segurança de redes de

computadores. Desta forma tornando-se um sistema de fácil implantação e manutenção,

permitindo que administradores de rede possam monitorar atividades ilícitas na rede interna

vindas da internet.

Palavras-chave: Segurança da Informação, Firewall, Segurança de Redes, IDS, Honeypot.

ABSTRACT

This monograph is intended to implement a security system of computer

networks. Therefore it supports and is prepared to obey rules of information security and best

practices related to security of computer networks. Thus becoming a system for easy

deployment and maintenence, allowing network adminstrators to monitor ilegal activities in

internal network from the internet.

Keywods: Information Security, Firewall, Nerwork Security, IDS, Honeypot.

SUMÁRIO

1. Contextualizacao1.1. Descrição do projeto1.2. Objetivo do projeto1.3. Justificativa para o projeto

2. Segurança da Informação2.1. Conceitos Básicos de Segurança

3. Normas ISO Relacionadas à Segurança da Informação3.1. O SGSI3.2. ISO/IEC177993.3. ISO/IEC 270003.4. ISO/IEC 270013.5. ISO/IEC 270023.6. ISO/IEC 270033.7. ISO/IEC 270043.8. ISO/IEC 270053.9. ISO/IEC 270063.10. ISO/IEC 27007

4. Ameaças à segurança4.1. Pontos vulneráveis4.2. Pings mapeadores4.3. Como um craker trabalha4.4. Como um script kiddie trabalha4.5. Técnicas de detecção de vírus4.6. Engenharia social

5. Os Firewalls5.1. Conceitos básicos5.2. Técnicas de firewalls5.3. Componentes de um firewall5.4. Questões de implementação

6. Introdução ao Ambiente Honeypot6.1. Definição6.2. Histórico6.3. Tipos6.4. Níveis diferenciados de interação6.5. Vantagens de uso6.6. Desvantagens6.7. A importância dos Honeypots na Segurança de Redes

7. Introdução as Honeynets7.1. Definição7.2. Funcionamento7.3. Tipos de Honeynets

8. Captura e análise de dados utilizando IDS8.1. Conceitos8.2. Como Funcionam8.3. Logserver8.4. Captura e Controle dos Dados8.5. Analise dos dados

9. Legalidade dos Honeypots

10. Honeypots comerciais11. Honeypots gratuitosReferencias BibliográficasGlossario

LISTA DE FIGURAS

Figura 1:

Figura 2:

Figura 3:

11

1. Contextualização1.1.Descrição do Projeto

O projeto de implantação de um sistema de segurança para redes de

computadores, requisito final para o curso de bacharel em sistemas de informação, tem por

finalidade defender a rede local de ataques vindos da internet ou mesmo de “dentro de casa”,

quando o ataque ocorre dentro da rede local por um usuário interno, os sistemas atuais sendo

eles open source ou os de código proprietário possuem falhas que se exploradas podem causar

sérios danos às corporações, esses danos pode ser desde uma interrupção nos negócios até um

roubo em massa de informações estratégicas que possam velar a empresa a falência.

No entanto as empresas hoje se preocupam mais com questões de segurança

voltada para informações, uma vez que as informações passaram a ser um ativo muito valioso

no mundo dos negócios, estão sendo feitos pesados investimentos em sistemas de segurança,

tanto física quanto lógica, mas o que ainda está falho neste processo de blindagem dos dados

empesarias é a comunicação e conscientização de quem utiliza os recursos de tecnologia das

empresas, os usuários finais ainda são o elo mais fraco da corrente e cabe não só ao

departamento de tecnologia da informação melhorar a comunicação direta com esses usuários,

mas também a empresa criar politicas mais eficazes de acesso a recursos tecnológicos.

Dentro deste cenário é proposto a instalação de um sistema de segurança baseado

em ferramentas open source, os IDS´s (Intrusion Detection System – Sistema de Detecção de

Intrusão) e os Honeypots (“potes de mel”, softwares preparados para simular serviços reais

como um servidor de e-mails, que se faz de isca para o invasor e registra todos os seus passos

dentro de sistema invadido) o sistema tem por principal característica monitoramento

constantemente o trafego de rede em busca de anomalias no trafego como vários pedidos de

conexão em uma determinada porta, pedidos de acesso a ambiente restrito do sistema. O

12

registro da invasão serve de base para a implementação de sistemas e segurança e para

identificar vulnerabilidades de aplicativos e de sistemas operacionais.

1.2.Objetivo do Projeto

O projeto tem por objetivo implementar um servidor Honeypot de média

interatividade para que sejam capturados dados da sessão do invasor e capturar seus passos

dentro do sistema invadido, esses programas simulam serviços reais como HTTP, Telnet,

POP3, SMTP, etc.

Os programas que executam esses falsos serviços são chamados de fake servers,

desta forma o administrator da rede ou o CSO (Chief Securty Officer) e sua equipe possam

analisar e estudar maneiras de impedir que ataques reais aconteçam nos sistemas da empresa.

Os Honeypots são sistemas preparados para serem comprometidos sondados num

ambiente que permita o registro e controle das atividades.

1.3.Justificativa para o Projeto

O projeto como objeto deste trabalho de conclusão de curso se justifica como uma

ferramenta de segurança de redes de computadores e se faz necessário no atual cenário da

tecnologia da informação, pois as ameaças estão por toda a rede. A facilidade em se encontrar

ferramentas para executar invasões, negação de serviços em sites de e-commerce, serviços

públicos e instituições financeiras com a intensão de obter lucro força as empresas a investir e

se preparar melhor contra esses criminosos.

13

A implantação desse sistema de justifica porque garante um controle eficaz e

seguro das atividades do invasor, oferecendo um ambiente de estudos para melhorias nos

processos de segurança da informação presente nas organizações.

14

2. Segurança da Informação2.1.Conceitos Básicos

Para Forouzan (2006, p.711) “a segurança de rede aplicada á informação deve

garantir quatro serviços essenciais para que o tráfego de informação seja eficiente”. A Figura

1 ilustra a hierarquia desses serviços.

Figura 1. Serviços da Segurança da Informação

Um computador ou uma rede só estarão seguros se atenderem a três requisitos

básicos relacionados aos recursos de: confidencialidade, integridade e disponibilidade. Esses

três requisitos devem atender há regras particulares de cada um.

Confidencialidade: As informações armazenadas no computador ou no

servidor de arquivos poderão ser acessadas somente com autorização.

Integridade: Certifique-se que as informações estão corretas para que não

precise de reenvio por causa de inconsistência ou corrupção do arquivo.

Disponibilidade: Os meios de comunicação devem estar sempre disponíveis

24 horas por dia 7 dias por semana, é recomendado sempre ter um plano de

contingência para o caso desses serviços falharem.

A segurança da informação não é um tema a ser tratado somente por empresas, os

computadores pessoais também estão sujeitos a vários tipos de ameaças, pois realizam

15

inúmeras tarefas importantes como transações bancarias, compra de produtos e serviços,

números de cartão de credito e senhas de contas bancárias na mão de criminosos podem gerar

inúmeros prejuízos.

A integridade do sistema operacional também pode ser afetada gerando gastos

com manutenção de equipamentos. Um sistema operacional comprometido pode servir de

base para diversos atos ilícitos na rede como, por exemplo: envio de spam, ataque a outros

computadores, disseminar vírus, falsificar a identidade na rede, etc.

Uma questão muito importante sobre segurança da informação são as senhas,

utilizadas para autenticar e identificar usuários de sistemas as senhas devem ser sempre

pessoais e nunca devem ser reveladas a ninguém. Para criar uma boa senha é recomendável

utilizar um conjunto de caracteres que contenham letras, números e caracteres especiais como,

por exemplo, a senha “Pa$$w0rd”, note que ela usa uma combinação dos três elementos

citados acima, desta forma ela se torna mais difícil de ser comprometida haja vista que

existem programas para quebrar senhas, a grade maioria dos sistemas hoje reconhecem letras

maiúsculas e minúsculas.

Senhas não devem conter segundo (Cartilha de Segurança para Internet cgi.br, 2006

Versão 3.1, p3), Nomes, sobrenomes, números de documentos, placas de carros, números de

telefones e datas deverão estar fora de sua lista de senhas. Esses dados podem ser facilmente

obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informação para

tentar se autenticar como você.

16

3. Normas ISO Relacionadas à Segurança da Informação

3.1.O SGSI – Sistema de Gestão de Segurança da Informação

É parte do sistema de gestão global, baseado na abordagem de riscos do negócio,

para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a

segurança da informação.

O sistema de gestão inclui estrutura organizacional, políticas, atividades de

planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

Para estabelecer um SGSI, a organização deve segundo a norma (ABNT NBR

ISO/IEC 27001:2006, p4). Definir o escopo e os limites do SGSI nos termos das

características do negócio, a organização, sua localização, ativos e tecnologia, incluindo

detalhes e justificativas para quaisquer exclusões do escopo; Definir uma política do SGSI nos

termos das características do negócio, a organização, sua localização, ativos e tecnologia;

Definir a abordagem de análise/avaliação de riscos da organização; Analisar e avaliar os

riscos; Identificar e avaliar as opções para o tratamento de riscos; Selecionar objetivos de

controle e controles para o tratamento de riscos; Obter aprovação da direção dos riscos

residuais propostos; Obter autorização da direção para implementar e operar o SGSI; Preparar

uma Declaração de Aplicabilidade.

As normas ISO relacionadas à Segurança da Informação estão em constante

crescimento ao todo já forma publicadas nove normalizações ISSO/IEC para a Segurança da

Informação, são elas: ISO/IEC17799; ISO/IEC 27000; ISO/IEC 27001; ISO/IEC 27002;

ISO/IEC 27003 ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27006; ISO/IEC 27007. As quais

farei uma pequena introdução.

17

3.2.ISO/IEC17799

Derivada da norma britânica BS 7799, a norma ISO 17799 dá linhas diretivas e

recomendações para a gestão da segurança. 

A norma 17799 fornece assim um plano que permite identificar e aplicar soluções

para os seguintes riscos:

Política de segurança (Security Policy): redigir e dar a conhecer a política da

empresa em matéria de segurança,

Organização da segurança (Security Organisation): Definição dos papéis e

das responsabilidades. Controlo dos parceiros e da atividade externa,

Classificação dos bens e controlo (Asset Classification and Control): Estado

dos bens da empresa e definição da sua criticidade e do risco associado,

Segurança do pessoal (Personnel Security): Contratação, formação e

sensibilização para a segurança;

Segurança física e ambiental (Physical and Environmental Security):

Perímetro de segurança, estado dos equipamentos de segurança;

Gestão das comunicações/Operações (COM/Ops Management):

Procedimentos em caso de acidente, plano de retoma, definição dos níveis de

serviço e do tempo de retoma, proteção contra softwares maliciosos, etc;

Controle de acesso (Access Control): Instalação de controles de acesso em

diferentes níveis (sistemas, redes, desenvolvimento, etc.);

Desenvolvimento e manutenção dos sistemas (System Development and

Maintenance): consciencialização das noções de segurança nos sistemas, da

concepção à manutenção;

18

Planificação da continuidade da empresa (Business Continuity Planning):

Definições das necessidades em matéria de disponibilidade, o tempo de

retoma e realização de exercícios de socorro;

Conformidade (Compliance): Respeito pelos direitos de autor, pela legislação

e pela política regulamentar da empresa.

3.3.ISO/IEC27000

A ISO / IEC 27000 é parte de uma família crescente de normas ISO / IEC Sistema

de Gestão de Segurança da Informação (SGSI), a “ISO / IEC 27000 séries”.

ISO/IEC 27000 é uma norma internacional intitulada: Tecnologia da Informação -

Técnicas de segurança - Sistemas de Gestão da Segurança da Informação - Visão Geral e

Vocabulário.

O padrão foi desenvolvido pela subcomissão 27 (SC27) do primeiro Comitê

Técnico Conjunto (JTC1) da Organização Internacional de Normalização e a Comissão

Eletrotécnica Internacional.

ISO/IEC 27000 prevê:

Uma visão geral e introdução à norma ISO/IEC 27000 séries, que são os

padrões de Sistemas de Gestão de Segurança da Informação (SGSI).

Um glossário ou vocabulário de termos fundamentais e definições utilizadas

em toda a norma da família ISO/IEC 27000. A segurança da informação,

como muitos assuntos técnicos, que se desenvolve uma complexa teia de

terminologia. Relativamente poucos autores se preocupam em definir

precisamente o que eles significam, uma abordagem que é inaceitável na

arena padrões como este potencialmente leva à confusão e desvaloriza a

19

avaliação e certificação formal. Conforme com a norma ISO 9000 e ISO

14000, a base de '000 'norma destina-se a resolver esta questão.

O público alvo são os usuários dos restantes ISO/IEC 27000 séries, padrões de

gestão de Segurança da Informação.

3.4.ISO/IEC27001

A ISO/IEC 27001, publicado em Outubro de 2005 pela International Organization

for Standardization (ISO) e a International Electrotechnical Commission (IEC). Seu nome

completo é ISO / IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança -

Sistemas de Gestão da Segurança da Informação - Requisitos mas é popularmente conhecido

como "ISO 27001".

Esta norma especifica formalmente um sistema de gestão que visa trazer

segurança da informação sob o controle de gestão explícita. Sendo uma especificação formal

significa que os mandatos requisitos específicos. As empresas que afirmam ter adotado a

norma ISO / IEC 27001 pode ser formalmente auditada e certificada em conformidade com o

padrão.

A maioria das organizações tem um número de controles de segurança da

informação. Sem um SGSI, no entanto, os controles tendem a ser um pouco desorganizados e

desarticulados, tendo sido implementadas, muitas vezes como soluções pontuais para

situações específicas, ou simplesmente como uma questão de convenção. Os modelos de

maturidade geralmente se referem a esta fase como "ad hoc". Os controles de segurança em

funcionamento normalmente tratam de certos aspectos de TI ou de segurança de dados,

especificamente, não deixando-os ativos de informação (como a papelada e os conhecimentos

de propriedade) menos bem protegidos em geral. Planejamento de continuidade de negócios e

20

segurança física, por exemplo, podem ser geridos de forma totalmente independente de TI ou

de segurança da informação, enquanto práticas de Recursos Humanos pode fazer pouca

referência à necessidade de definir e atribuir papéis e responsabilidades de segurança da

informação em toda a organização.

ISO/IEC 27001 requer que a Administração:

Analise sistematicamente os riscos de segurança da organização da

informação, tendo em conta as ameaças, vulnerabilidades e impactos;

Crie e programe um conjunto coerente e abrangente de controles de

segurança da informação e / ou outras formas de tratamento de risco (tal

como a prevenção de risco ou de transferência de risco) para enfrentar os

riscos que são considerados inaceitáveis.

Adote um processo de gestão global para assegurar que os controles de

segurança da informação continuem a atender a segurança da organização e

necessidades de informação em uma base contínua.

Enquanto outros conjuntos de controles de segurança da informação pode

potencialmente ser utilizado dentro de uma norma ISO/IEC 27001 SGSI, bem como, ou

mesmo, em vez da ISO/IEC 27002 (Código de Boas Práticas para Gestão de Segurança da

Informação), estas duas normas são normalmente utilizados em conjunto na prática. Anexo A

da norma ISO/IEC 27001 enumera sucintamente os controles de segurança da informação da

norma ISO/IEC 27002, enquanto a ISO / IEC 27002 fornece informações adicionais e

consultoria de implementação de controles.

Organizações que implementam um conjunto de controles de segurança da

informação em conformidade com a norma ISO / IEC 27002 estão simultaneamente com

probabilidade de encontrar muitos dos requisitos da norma ISO / IEC 27001, mas pode faltar

algum dos elementos do sistema global de gestão. O inverso também é verdadeiro, em outras

21

palavras, um padrão ISO/IEC 27001 certificado de conformidade garante que o sistema de

gestão de segurança da informação está no lugar, mas diz pouco sobre o estado absoluto de

segurança da informação dentro da organização.

Segurança técnica controles, como antivírus e firewalls normalmente não são

fiscalizadas em (ISO/IEC 27001), auditorias de certificação: a organização é essencial que se

presume terem adaptado todos os controles de segurança necessários, informações desde o

SGSI global estão no local e é considerada adequada, satisfazendo os requisitos da ISO/IEC

27001. Além disso, a gestão determina o escopo do SGSI para fins de certificação e pode

limitá-lo, digamos, a unidade de negócios ou um único local.

A norma ISO/IEC 27001 certificado não significa necessariamente que o restante

da organização, fora do escopo da área, tem uma abordagem adequada para a gestão da

segurança da informação.

Outras normas da ISO / IEC 27000 família de padrões de fornecer orientações

adicionais sobre certos aspectos de concepção, implementação e exploração de um SGSI, por

exemplo, informações de gerenciamento de riscos de segurança (ISO / IEC 27005).

3.5.ISO/IEC27002

ISO/IEC 27002 é uma norma de segurança da informação publicada pelo

International Organization for Standardization (ISO) e pelo International Electrotechnical

Commission (IEC), originalmente como a ISO / IEC 17799:2005.

Posteriormente, foi renumerado ISO / IEC 27002:2005, em Julho de 2007,

alinhando-a com a de outras normas ISO / IEC 27000-série. Ela tem o direito de tecnologia da

22

informação - Técnicas de segurança - Código de prática para a gestão de segurança da

informação. O padrão atual é uma revisão da primeira versão publicada pela ISO / IEC em

2000, que era uma cópia palavra por palavra, do British Standard (BS) 7799-1:1999.

ISO / IEC 27002 fornece recomendações de boas práticas de gestão de segurança

da informação para uso por parte dos responsáveis por iniciar, implementar ou manter

Information Security Management Systems (SGSI). A segurança da informação é definida

dentro do padrão no contexto da tríade CIA:

a preservação da confidencialidade (garantir que a informação é acessível somente às pessoas

autorizadas a ter acesso), integridade (salvaguarda da exatidão e integridade das informações

e métodos de processamento) e disponibilidade (garantia de que usuários autorizados tenham

acesso às informações e ativos associados quando necessário).

Após as seções introdutórias, a norma contém as seguintes doze seções principais:

1. A avaliação de riscos;

2. Política de segurança - direção, gestão;

3. Organização da segurança da informação - a governança da segurança da

informação;

4. A gestão de ativos - Inventário e classificação dos ativos de informação;

5. Segurança em recursos humanos - aspectos de segurança para os

trabalhadores se juntarem, passando e deixando uma organização;

6. Segurança física e ambiental - a proteção dos equipamentos informáticos;

7. Comunicações e operações de gestão - gestão de controles técnicos de

segurança nos sistemas e redes;

8. Controle de acesso - restrição de direitos de acesso a redes, sistemas,

aplicativos, funções e dados;

23

9. Sistemas de aquisição de informação, desenvolvimento e manutenção -

segurança em aplicações de construção;

10. Gestão de incidentes de segurança - antecipar e responder adequadamente às

violações de segurança da informação;

11. O gerenciamento de continuidade - a proteção, manutenção e recuperação de

processos críticos de negócios e sistemas;

12. Cumprimento - conformidade com as políticas de segurança da informação,

normas, leis e regulamentos.

Dentro de cada secção, os controles de segurança da informação e os seus

objetivos são especificados e descritos. Os controles de segurança da informação são

geralmente considerados como melhores práticas meios para atingir esses objectivos. Para

cada um dos controles, da orientação de implementação é fornecida. controles específicos não

são obrigatórias desde:

1. Cada organização deverá proceder a uma estrutura de segurança da

informação processo de avaliação de risco para determinar os seus requisitos

específicos antes de selecionar os controles que são adequados às suas

circunstâncias específicas. A seção de introdução descreve um processo de

avaliação de risco, embora existam normas mais específicas em vigor nesta

área, como a ISO / IEC 27005. A utilização de informações de análise de

risco de segurança para dirigir a seleção e implementação de controles de

segurança da informação é uma característica importante das normas ISO /

IEC 27000 série: isso significa que o conselho prática genérica bom nesta

norma se adaptado ao contexto específico de cada organização do usuário, ao

invés de ser aplicada de forma mecânica. Nem todos os 39 objetivos de

controle são necessariamente relevantes para cada organização, por exemplo,

24

daqui categorias inteiras de controle não podem ser considerados necessários.

As normas também estão em aberto no sentido de que os controles de

segurança da informação são "sugeridas", deixando a porta aberta para que os

usuários adotem controles alternativos se assim o desejarem, apenas contanto

que os objetivos de controle fundamentais relacionados com a mitigação dos

riscos de segurança da informação, estão satisfeitos. Isso ajuda a manter o

padrão relevante, apesar da evolução das ameaças de segurança da

informação, as vulnerabilidades e os impactos e as tendências no uso de

determinados controlos de segurança da informação.

2. É praticamente impossível listar todos os controles possíveis em um padrão

de uso geral. diretrizes de implementação específicos da indústria para a ISO /

IEC 27001 e ISO / IEC 27002 oferecer conselhos adaptados às organizações

na indústria telecomms (ver ISO / IEC 27011) e saúde (ver ISO 27799), com

orientações adicionais para os serviços financeiros e outras indústrias

preparação.

3.6.ISO/IEC27003

ISO / IEC 27003, É uma norma de segurança da informação publicada pelo

International Organization for Standardization (ISO) ea International Electrotechnical

Commission (IEC). Seu título é Tecnologia da Informação - Técnicas de segurança –

Segurança da informação de gestão da orientação de implementação do sistema.

O objetivo da ISO / IEC 27003 é fornecer ajuda e orientação na implementação de

um SGSI (Sistema de Gestão de Segurança da Informação).

Resumo da Norma.

O padrão contém as seguintes seções:

25

Introdução;

Âmbito;

Termos e Definições;

Estrutura da presente Norma

Obter a aprovação da gerência para dar início ao projecto de implementação

de um SGSI;

Definição da política do SGSI Âmbito e ISMS;

Realizar análise da organização;

Realização de Avaliação de Risco e Plano de Tratamento de Riscos;

Projetando o SGSI.

A norma foi publicada em Janeiro de 2010.

3.7.ISO/IEC27004

A ISO/IEC 27004:20099, parte de uma família de normas ISO/IEC SGSI, a

"ISO/IEC 27000 séries”, é uma norma de Segurança da Informação.

Seu nome completo é tecnologia da informação - Técnicas de segurança - Gestão

da Informação de Segurança - Medição.

O objetivo da ISO / IEC 27004 é ajudar as organizações medida, o relatório e,

consequentemente, melhorar sistematicamente a eficácia dos seus Sistema de Gestão de

Segurança da Informação (SGSI).

O padrão inclui as seguintes seções principais:

Informação Resumo medida de segurança;

As responsabilidades de gestão;

26

Medidas e desenvolvimento de medição;

Operação de Medição;

Análise de dados e medição de resultados de relatórios;

Segurança da Informação Programa de Medição, avaliação e melhoria.

O Anexo A apresenta um modelo com o qual a descrever uma medida, enquanto o

Anexo B oferece alguns exemplos trabalhados.

A norma foi publicada em 7 de dezembro de 2009.

3.8.ISO/IEC27005

ISO/IEC 27005 parte de uma família de normas ISO/IEC SGSI, a "ISO/IEC

27000, séries”, é uma norma de Segurança da Informação.

Seu título completo é ISO/IEC 27005:2008 Tecnologia da informação - Técnicas

de Segurança - Informações de Gestão de Riscos de Segurança.

O objetivo da ISO/IEC 27005 é fornecer diretrizes para a gestão da informação de

risco de segurança. Ele suporta os conceitos gerais especificados na norma ISO/IEC 27001 e é

projetado para auxiliar a implementação satisfatória da segurança da informação baseada em

uma abordagem de gestão de risco. Ele não especifica recomendar ou até mesmo o nome de

qualquer método de análise de riscos específicos, embora não especifique um processo

estruturado, sistemático e rigoroso de análise de riscos para a criação do plano de tratamento

de risco.

A norma foi publicada em junho de 2008.

3.9.ISO/IEC27006

27

ISO / IEC 27006, parte de uma norma da família ISO/IEC SGSI, a "ISO / IEC

27000, série”, é uma norma de segurança da informação.

Ela tem o direito de tecnologia da informação - Técnicas de Segurança -

Requisitos para organismos de auditoria e certificação de sistemas de informação de gestão de

segurança.

ISO / IEC 27006 estabelece requisitos formais de organizações credenciadas

outras organizações que certificam a norma ISO / IEC 27001.

Ele substitui eficazmente EA 03/07 (Diretrizes para a acreditação de organismos

de certificação operacional / registo. Information Security Management Systems).

A norma ajuda a garantir que a ISO / IEC 27001 certificados emitidos por

organismos acreditados são significativas e confiáveis, em outras palavras, é uma questão de

segurança.

A norma contém os dez seções seguintes:

1. Âmbito;

2. Referências normativas;

3. Termos e definições;

4. Princípios;

5. Requisitos gerais;

6. Requisitos estruturais;

7. Requisitos de Recursos;

8. Requisitos de Informação;

9. Requisitos de Processos;

10. Requisitos do sistema de gestão dos organismos de certificação.

3.10. ISO/IE27007

28

I ISOISO / IEC 27007 parte de uma da família de normas ISO/IEC SGSI, a

"ISO/IEC 27000, séries”, é um padrão de segurança de informação que está sendo atualmente

desenvolvido pela International Organization for Standardization (ISO) ea International

Electrotechnical Commission (IEC).

O título atual é de tecnologia da informação - Técnicas de Segurança - Diretriz

para Auditorias de Sistemas de Segurança da Informação de Ggestão.

ISO / IEC 27007 proporcionará orientação para os ISMSs auditoria para vários

fins que não sejam certificados de conformidade com a norma ISO / IEC 27001 (que é coberta

pela ISO / IEC 27006), efeitos, tais como:

A auditoria interna, por exemplo, auditores de TI para confirmar que a

segurança de informação da organização controla adequadamente mitigar

seus riscos de segurança da informação;

A auditoria externa, incluindo auditorias de TI realizado como parte de

auditorias financeiras (por exemplo, confirmando que a segurança da

informação controlos relativos à contabilidade geral ou dos sistemas de

compras e os processos são adequados para os auditores devem se basear nos

dados associados / informação) e auditorias do ISMSs terceira parte (como

aquelas operadas por prestadores de serviços se verificar sua adequação por si

mesmo ou para confirmar que as obrigações contratuais sobre eles em relação

à segurança da informação estão satisfeitos);

Gerenciamento de revisões, incluindo os realizados rotineiramente como

parte de um SGSI operacional para verificar se tudo está em ordem, e “ad

hoc” auditoria na sequência de incidentes de segurança da informação, como

parte da análise de causa raiz para gerar ações corretivas.

29

4. Ameaças a Segurança

4.1.Pontos Vulneráveis

Estamos todos nós vulneráveis na internet? De acordo com (Ulbrich, Della Valle,

2009, p209), “Infelizmente, a resposta, em uma palavra, é sim. Nossos sistemas de

informação, com todos os patches, Services Packs e correções, são falhos porque foram

desenvolvidos sem levar a segurança em conta. É muito mais fácil plantar árvores que fazer

enxertos.”.

As vulnerabilidades estão não somente nos softwares, mas também nas pessoas e

nos processos das empresas que nem sempre se preocupam com a segurança de suas redes de

computadores, segundo Ulbrich e Della Valle (2009), em seu livro Universidade Hacker (6ª

edição). Muitos bugs que permitem a ação de criminosos poderiam se facilmente corrigidos,

mas muitas companhias preferem fazer vistas grossas a esses problemas sendo, em muitos

casos até displicentes.

Ainda de acordo com os autores uma pesquisa realizada no final de 2002 pela

Módulo Security Solutions, a segurança da informação é fator importante para 45% dos

executivos, sendo que 16% a consideram crítica e 32% a classificam como vital. Mesmo

assim, a falta de conscientização dos executivos (45%) e dos usuários (38%) foram apontadas

como os principais obstáculos para implementação da segurança nas corporações.

A mesma pesquisa ainda mostra que, hackers foram responsáveis por (48%) dos

ataques e invasões em 2002, em segundo lugar os funcionários com (31%), prestadores de

serviços (12%), ex-funcionários (8%) e os concorrentes com (4%).

30

4.2. Pings Mapeadores

Existem várias ameaças na rede, e quaisquer adolescentes curiosos ou mesmo

profissionais más intenções podem causar sérios danos às empresas e usuários domésticos

quando esses não tomam dos devidos cuidados.

Carmona (2009), mostra em seu livro Ataque Hacker que a ferramenta de teste de

conexão “ping” presente em todos os sistemas operacionais, pode ser de grande utilidade para

um atacante. Sabendo explorar todo o potencial desta simples ferramenta podem-se identificar

servidores e maquinas de usuários domésticos na internet.

Pode-se criar um arquivo de texto para armazenar as respostas de um “ping” em

um determinado espaço de endereços na internet, com alguns comados no Linux facilmente é

criado um log de resposta de comados “ping”.

4.3.Como um Craker Trabalha

Um craker sempre esta a procura de obter lucros em suas investidas eles imitam

os hackers, pois utilizam sistemas baseados m UNIX, como o Linux, entretanto suas

atividades são na maioria das vezes com foco em obter o maior número possível de

informações sobre servidores vulneráveis no menor espaço de tempo possível e com o menor

esforço.

Eles podem descobrir através de ferramentas como o ping por exemplo quais

maquinas estão em funcionamento em um determinado intervalo de endereços, a partir disso

criar uma lista com as possíveis vitimas de ataques de negação de serviço (DoS) e roubo de

informações financeiras como números de cartão de credito.

31

4.4.Como um Script Kiddie Trabalha

Os Kiddies são os que chamamos de pichadores ou vândalos da internet, eles não

querem saber para que serve uma ferramenta eles querem simplesmente causar algum estrago

que seja visível por todos, para que possam depois postar em algum blog “hacker” sua

incrível façanha.

Eles não possuem o mesmo nível desconhecimento de um hacker, utilizam

somente ferramentas prontas disponíveis na internet essas ferramentas são em sua maioria

desenvolvidas para sistemas Linux, o Windows não possui a mesma disponibilidade de

ferramentas de ataque que o Linux isso deixa os script Kiddies desconsolados, pois eles em

sua maioria não querem estudar sistemas Linux.

O software mais utilizado em sistemas Windows é o Shadow Security Scanner ou

SSS como é conhecido na internet de acordo com Carmona (2006), este é um software pago

geralmente usado para fazer testes em uma rede para descobrir pontos vulneráveis a ataques.

Os Kiddies descobriram seu poder de fogo e o programa se tornou moda nos sites “hackers”.

4.5.Técnicas de Detecção de Vírus

Nos anos 80 e 90, os antivírus conseguiam detectar a maioria das pragas virtuais

da época, pois os discos rígidos dos computadores tinham pouca capacidade e os arquivos

contaminados se limitava a extensões .exe, .com e as vezes infecção no boot ou MBR da

maquina.

32

À medida que a evolução do hardware e software foi se tornando mais acessível

os discos passaram a suportar terabytes de dados e outros formatos de arquivos se tornaram

vitimas de infecção como, .pdf, .doc, xls, .vbf, .inf, .jpg, etc. Essa mudança fez com que as

empresas de antivírus atualizassem seus métodos de pesquisa para melhorar a performance e

atender a nova demanda de identificação e remoção de vírus em diversos formatos de

arquivos.

Um antivírus funciona da seguinte forma, a detecção é realizada por assinaturas

binarias, pequenos blocos de dados utilizados para identificar o vírus, no entanto como os

vírus também evoluíram essa detecção por assinatura binaria nem sempre é eficaz ou não é

possível faze-la. Esse tipo de detecção utiliza em geral de 2 a 255 bytes para identificar o

vírus.

A maior preocupação dos fabricantes de antivírus esta em detectar as novas

ameaças que ainda não tem sua assinatura binária estudada, entre outras formas de detectar

novos vírus esta a emulação e a heurística.

A Heurística estuda o comportamento, estrutura e caraterísticas do arquivo

podendo classifica-lo como suspeito ou não, esta técnica pode causar muitos falsos-positivos,

onde um arquivo legítimo pode apresentar um comportamento considerado suspeito pelo

antivírus, à figura 2 mostra como um vírus infecta arquivos .exe.

33

Figura 2. Infecção de arquivos .exe.

Tadeu Carmona (2004, p.63) mostra que:

“Um arquivo .exe possui um pequeno cabeçalho, um Entry Point, o ponto onde começa a execução do programa, e o programa propriamente dito. Após uma infecção, o Entry Point, é alterado, de forma que passa a apontar para o código do vírus. Após a execução do vírus, este pula para o Entry Point, original do programa, fazendo-o funcionar normalmente.”

Já a técnica de Emulação foi criada da década de 90 com a intenção de identificar

vírus polimórficos, essa categoria de vírus pode a cada infecção mudar seu próprio código,

tonado a detecção difícil por pesquisas de assinatura binaria.

A emulação tenta identificar a rotina de decriptografia do vírus, quando um vírus

desta classe é executado ele decriptografa seu código executável usando uma rotina anexada

ao vírus, e quando se prolifera ela modifica seu código para que não possa ser detectado.

4.6.Engenharia Social

Nós convivemos com engenheiros sociais o tempo, todo talvez até nos mesmos já

utilizamos essa técnica para conseguir algum beneficio.

34

Marcos Flavio Araújo Assunção (2009, p.19) define Engenharia Social como:

“...um conjunto de técnicas especificas que permitem manipular os sentimentos e aspirações

de um ser humano para beneficio próprio.”.

Muitos fraudadores e estelionatários utilizam essas técnicas em seus golpes elas

tendem a manipular os sentimentos de curiosidade, confiança, orgulho, simpatia, culpa ou

medo. Dentro de um ambiente de um honeypot a engenharia social pode ser usada a favor do

administrador da rede contra invasores, atraindo-os principalmente pela curiosidade e

confiança de que o sistema esta totalmente vulnerável.

Existem dois tipos de ataques através da Engenharia Social, o ataque direto e o

indireto, ambos somente terão sucesso se as habilidades do atacante em manipular as pessoas

para convencê-las a entregar as informações com facilidade sejam consideráveis.

O ataque indireto é feito com o uso de ferramentas de invasão como trojans ou

sites contaminados, mas pode ser feito também através de e-mails falsos como os que pedem

uma atualização de cadastro bancário, ou sites phishing que aparentam o site verdadeiro mas

são na verdade um ambiente para extrair dados dos usuários.

Ataques diretos em sua maioria são feitos por telefone ou pessoalmente, esse

ataque exige do hacker de um ator profissional e um dom artístico, ele precisa o todo

momento impedir que a vítima desconfie dele ou o ataque estará comprometido, o ataque

direto exige um bom planejamento antecipado.

35

5. Os Firewalls

5.1.Conceitos Básicos

Um Firewall na tradução literal pode ser chamado de “muro de fogo” ou “porta

corta fogo” para alguns autores, mas na verdade esse recurso hoje é essencial em uma rede

computadores, nenhum administrador de rede deixa seus servidores sem esse recurso de

proteção.

O Firewall geralmente é instalado entre duas ou mais redes, a instalação mais

comum é entre uma rede privada e a Internet, ele tem como função é controlar o tráfego entre

as redes, permitindo ou bloqueando pacotes de dados conforme regras pré-estabelecidas.

Como padrão nas configurações de um Firewall as conexões vindas da rede interna são

permitidas e as conexões vindas de fora da rede bloqueadas.

Existem três tipos de Firewalls. Os de Filtro de Pacotes e Proxies e um o Filtro de

Estado de Pacotes ou stateful packet filter (SPF).

Existem varias soluções no mercado para Firewalls entre os pagos temos o

Microsoft ISA Server, e o mais popular e mais usado é o IPTables ou NetFilter, presente nas

distribuições Linux.

5.2.Técnicas de Firewalls

O Firewall age basicamente como uma porta que permite ou bloqueia uma

conexão. Sempre que uma tentativa de conexão e requisitada o firewall consulta o conjunto de

regras pré-estabelecida se o protocolo e porta de conexão estão liberados para realizar

transmissão de dados, baseando-se nessas regras os pacotes são liberados, redirecionados ou

negados antes de atingir o destino final.

36

A figura três exemplifica a ação de um Firewall.

Figura 3. Funcionamento de um Firewall

5.3.Componentes de um Firewall

5.4.Questões sobre Implementação

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126