Your SlideShare is downloading. ×
  • Like
×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

5 edicao marco_31_03_2012

  • 1,022 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,022
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
27
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. VOCÊ PODE: Copiar, distribuir, criar obras derivadas e exibir a obra.Licença COM AS SEGUINTES CONDIÇÕES: Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto. Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital. Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta. O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem auto­ rização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres­ sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa­ ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen­ te. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador. |01 Março 2012 • segurancadigital.info
  • 2. É, esse mês passou rápido. Até demais! Felizmente fechamos com chave de ouro mais uma edição da Revista Segurança Digital, que ganhou uma nova roupagem, um visual desenhado a partir do zero. Como nosso objetivo é levar o melhor material até os leitores, este atraso pode ser perdoado, assim acredito. DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira Nessa edição tivemos a inserção de um tutorial, prática que será fabiojanio@segurancadigital.info levada adiante nas edições seguintes, nossa colaboradora Lígia Barroso escreveu um artigo muito interessante sobre a área de EDITORES­CHEFE Direito Digital atendendo a pedidos de leitores. É válido relembrar Johnantan Pereira johnantan.pereira@gmail.com que você pode nos enviar sugestões por email, fazer comentáriosEditorial no site e até mesmo nas redes sociais em que temos participação Luiz Felipe Ferreira lfferreira@gmail.com (Twitter e Facebook). LDAP Injection é o artigo destaque dessa edição, escrito por EDITOR DE ARTE Bruno Cesar Moreira de Souza. Em seu artigo o autor em questão Hélio José Santiago Ferreira começa citando a vulnerabilidade chamada de "SQL Injection", muito utilizada por criminosos virtuais para conseguir acesso não COLUNISTAS Augusto Pannebecker Fernandes autorizado a dados sensíveis ou até mesmo comprometer os dados augustopan@gmail.com em questão, mas não para por aí. Além dos ataques de "SQL Thiago Fernandes Gaspar Caixeta Injection" temos os seus irmãos "XPath Injection", "LDAP thiago.caixeta@gmail.com Injection", “SOAP Injection", "SMTP Injection" e muitos outros... Ronielton Rezende Oliveira Ainda falando sobre ataques de quem tem como objetivo realizar ronielton@ronielton.eti.br algum tipo de injeção, é válido relembrar que em edições Julio Carvalho anteriores desta revista falamos sobre "SQL Injection" e "PHP julioinfo@gmail.com Injection". Voltando ao assunto principal dessa edição, Lígia Barroso demostrações de injeção a LDAP são efetuadas pelo autor, ligiabarroso@hotmail.com garantindo desta forma um melhor entendimento e aproveitamento Bruno Cesar Moreira de Souza do artigo. bruno.souza@ablesecurity.com.br Como mencionado logo no início dessa página, esta edição Nágila Magalhães conta com um tutorial prático referente a servidores SSH, escrito nagilamagalhaes@gmail.com por Fábio Jânio. Atendendo a pedidos de leitores o tutorial em Fernando Shayani questão possui uma abordagem bem simples e direta, o mesmo fernando@critteria.com.br apresenta uma ferramenta de segurança utilizada para evitar Yuri Diogenes ataques do tipo brute­force e outros ataques do gênero, essa ferramenta atende muito bem as necessidades de usuário, administradores e profissionais de segurança que trabalham ou REVISÃO Andressa Findeis utilizam ambiente GNU/Linux. findeis.andressa@gmail.com Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br Sejam bem vindos a mais uma edição Revista Segurança Digital... Na Internet http://twitter.com/_SegDigital www.facebook.com/segurancadigital Por Fábio Jânio www.youtube.com/segurancadigital www.segurancadigital.info |02 Março 2012 • segurancadigital.info
  • 3. Índice Artigo Data Security 49 Appliance de IDS/IPS ou Servidor com Snort? 05 HostDime 56 Classificação da Informação 07 Kryptus 57 Criptografia simétrica e assimétrica (parte 1) 11 CyberWar a realidade que você desconhece 16 Anuncios / Divulgação Direito & TI ­ os desafios do "novo profissional AbleSecurity 45 19 do direito" em 2012 Data Security 46 DNSSEC ­ O antídoto contra os ataques DNS 21 LDAP Injection ­ Como Funciona o Ataque e 25 Como se Proteger Pericia Digital: Conheça a arte da investigação 30 04 ­ Agenda TI "digital" Confira o calendário dos profissionais OpenStack solução para contrução de nuvens 33 de TI Otimização de Links WAN 35 Segurança em Cloud Computing 37 58 ­ Coluna do leitor Emails, sugestões e comentários. Dica / Tutorial Envie o seu e, contribua para com o nosso projeto SSH ­ Proteção Com DenyHosts 41 44 ­ Notícias Parceiros Fique informado quanto ao que acontece no mundo virtual. 4Linux 48 |03 Março 2012 • segurancadigital.info
  • 4. Links: http://twitter.com/agendati http://www.facebook.com/agendati agendati@fedorowicz.com.brPerfil Responsável: Eduardo Fedorowicz http://twitter.com/fedorowicz|04 Março 2012 • segurancadigital.info
  • 5. Appliance de IDS/IPS ouServidor com Snort? N o universo de Segurança da Informação, entre relativamente baixo. Vale lembrar que o SNORT tam­ muitos conceitos, está o de IDS/IPS. IDS (Intru­ bém possui suporte do fabricante, tanto para o sion Detection System) como seu próprio sig­ software quanto para novas ameaças que surgem no nificado, faz uma detecção de intrusão e gera um alerta, já dia­a­dia. Porém este suporte também é ponto de dis­ IPS (Intrusion Prevention System) vai além de detec­ cussão sobre uma solução ou outra, pois geralmente a tar a tentativa de invasão, barra esta de maneira a bloquear resposta do suporte de um fabricante de um applian­ o tráfego malicioso, protegendo o ambiente. ce é mais rápido do que da equipe do SNORT. O SNORT é um software livre com o objetivo de O objetivo deste artigo não é menosprezar uma ou realizar esta função de IDS/IPS. Pode ser utilizado outra solução, apenas apontar alguns pontos essenci­ em hardware proprietário (Appliance) ou em servidor ais para a tomada de decisão, de um administrador de dedicado, reduzindo seu custo de implantação. rede, para qual alternativa optar. Com o crescente aumento do número de ataques e A solução utilizando um appliance tem um custo sua diversidade, cada vez mais as empresas vêem a alto que muitas vezes não atende aos objetivos de necessidade de utilizar uma solução de IDS/IPS a fim uma pequena ou média empresa. Para tomar a deci­ de evitar que sejam exploradas vulnerabilidades exis­ são sobre qual solução utilizar as empresas avaliam tentes em seu ambiente, sejam elas em protocolos ou primeiramente a relação custo benefício. Este appli­ de softwares em uso. ance carrega consigo vantagens essenciais no desem­ Com esta necessidade de segurança surge outra penho da comunicação de backbone de uma empresa, questão a ser respondida: utilizar um Appliance como por exemplo, ausência de latência na comuni­ IDS/IPS de um fabricante ou utilizar um servidor de­ cação, o que para maioria das empresas é essencial dicado rodando SNORT? nas suas comunicações. Explicando, o conjunto Um appliance traz consigo a confiabilidade e o su­ hardware e software de um appliance são construídos porte que o fabricante oferece, muitas vezes a um cus­ de maneira a não injetar latência na comunicação to adicional, mas disponível mesmo assim. Já a quando faz inspeção do tráfego. O hardware de um solução de um servidor rodando SNORT, tem como appliance geralmente é construído especialmente pa­ principal vantagem o custo, visto que o software ra este fim, uma arquitetura especial que não permite SNORT é freeware e um bom servidor tem um custo a injeção de atrasos na comunicação. Quando o tráfe­ |05 Março 2012 • segurancadigital.info
  • 6. ARTIGO Segurança Digitalgo é intenso e supera um limite pré­determinado, defi­nido pelo fabricante ou administrador da rede, o mes­mo entra em modo failover, ou seja, faz um by­passnas suas portas, permitindo ao tráfego passar direta­mente pelo seu hardware sem inspeção. Isto para mui­tos é uma falha de segurança, deixar o tráfego passarsem inspeção, mas vale ressaltar que não é fácil atin­gir este limite do equipamento, é a última alternativado mesmo. Além disso, os administradores precisamter atenção para filtros habilitados que não possuemtráfego inspecionado contabilizado no equipamento, Figura 1 ­ Logo do Snort.ocupando memória/CPU e contribuindo para que estelimite seja atingido. Já a solução de um servidor rodando SNORT, ape­sar do mesmo suportar arquiteturas RISC e CISC de Um pouco mais sobre o SNORThardware, dificilmente não inserirá latência na comu­nicação, devido ao hardware do servidor não ter sido O Snort, ferramenta criada por Martin Roesch éfabricado para este fim, por melhor que este seja. Es­ muito utilizada no meio corporativo para detectarta solução, na opinião deste, tem sua melhor aplica­ tentativas de invasão. As chances de você ser umção em pequenas e médias empresas, que não profissional de segurança e não conhecer esta fer­necessitam de tráfego externo livre de latência. ramenta são bem remotas. Muitos fabricantes fazem uso do SNORT em seus Hoje, além do Snort ser comercializado em for­appliances, a principal diferença entre suas soluções e ma de appliances de alto desempenho a Sourcefireaquelas implementadas com servidores, é o hardware possui uma linha de produtos também comerciali­proprietário – com um conjunto de processadores em zados da mesma forma, como por exemplo um an­linha ­ fabricado especialmente para este fim. Um ti­vírus que funciona na nuvem.IDS/IPS, seja ele um appliance ou um SNORT, tem Essa ferramenta possui uma solução open sour­seu funcionamento semelhante ao de um software an­ ce (grátis). Segundo seu criador basicamente nãoti­vírus. Ambos se utilizam de uma base de dados de existe quase nem uma diferença entre a soluçãovulnerabilidades atualizada, para inspecionar o tráfe­ paga e grauita do produto principal (Snort), todosgo/arquivos a fim de detectar ameaças conhecidas, a os pré­processadores, a lógica de detecção, osdiferença é que o IDS/IPS atua na camada 3 (rede) do complementos de saída são os mesmos.modelo OSI e o anti­vírus na camada 7 (aplicação).Esta base de dados é atualizada sempre que uma vul­ Site oficial: http://www.snort.org/nerabilidade se torna conhecida e passa pela análisede uma equipe especializada, seja do fabricante do ap­pliance ou do SNORT. Esta explicação ajuda a enten­der o porquê da necessidade de um hardware tão Augusto Pannebecker Fernandesrobusto para um IDS/IPS, pois o equipamento temque ser capaz de gerenciar o tráfego ao mesmo tempo Técnico em Eletrônica e Informáticaem que o inspeciona procurando por ameaças, isto tu­ Industrial, superior em Análise e De­ senvolvimento de Sistemas, pós­gra­do sem gerar a temida latência. duando em Especialização em Por fim, podemos concluir que ambas as soluções Segurança da Informação 18 anos detem o mesmo objetivo, proteção do ambiente, porém experiência na área de TI atualmentecom duas diferenças principais: custo e desempenho. atuando em Suporte de Redes/Tele­Cabe aos CSO (Chief Security Officer) juntamente com, Administrador de IDS/IPS, Ana­com os administradores, avaliarem qual solução utili­ lista e consultoria de segurança.zar, sempre levando em conta o escopo que desejam Email: augustopan@gmail.comproteger e a melhor relação custo benefício para sua Twitter: @AugustoPanempresa.|06 Março 2012 • segurancadigital.info
  • 7. Uma maneira eficiente de proteger suas informações e garantir o seu negócioClassificação da Informa-ção Introdução ções, cds e dvds, pendrives, e­mails, sistemas, etc. e Definitivamente estamos vivendo a era da informa­ saber classificá­las de forma correta garante que es­ ção. Seja nas ruas, no trabalho ou em casa, para onde tas recebam a devida proteção de acordo com seu ní­ olhamos somos inundados com as mais variadas infor­ vel de criticidade durante todo o seu ciclo de vida, mações disponíveis nos mais diversos formatos: out­ desde sua criação até o seu descarte. A informação é doors, livros, revistas, jornais, rádio, televisão, um bem precioso das organizações, assim seu valor internet, etc. Muitas destas informações são úteis e se­ deve ser reconhecido no nível mais apropriado e os rão utilizadas no nosso dia­a­dia, porém outras com colaboradores devem saber como protegê­las, para certeza terão pouca importância, devendo ser descon­ que não ocorram acessos indevidos, sejam modifica­ sideradas. das, excluídas por pessoas não autorizadas ou divul­ Saber analisar o que realmente é importante para gadas sem prévia autorização, podendo gerar sérios nós se torna um fato de extrema relevância, para não prejuízos ao negócio e à imagem da organização. perdermos o foco do que nos interessa de verdade. Á respeito disso a ISO/IEC 27002:2005 diz que “a Este exercício deve ser feito por todos, principalmen­ informação possui vários níveis de sensibilidade e te pelas organizações onde existe um ambiente em criticidade. Alguns itens podem necessitar um nível que a questão financeira será mais abrangente, poden­ adicional de proteção ou tratamento especial. Con­ do as informações se tornarem um diferencial compe­ vém que um sistema de classificação da informação titivo, além de otimizar o capital disponível seja usado para definir um conjunto apropriado de ní­ aplicando­o onde é essencialmente importante. Nosso veis de proteção e determinar a necessidade de medi­ objetivo aqui é fornecer o entendimento necessário, das especiais de tratamento”. Portanto a classificação para que você possa buscar a valorização e proteção das informações pode ser entendida como um meca­ dos seus ativos de informação em sua organização da nismo para que as empresas identifiquem, definam melhor forma possível. critérios e níveis de proteção adequados às mais di­ Neste contexto, é interessante entendermos sobre versas informações disponíveis nos mais diversos a classificação das informações dentro das organiza­ formatos. Assim garante­se a confidencialidade, inte­ ções. As informações transitam dentro das empresas gridade e disponibilidade destas informações, além através dos mais variados canais, tais como publica­ de melhorar a aplicabilidade dos recursos financeiros |07 Março 2012 • segurancadigital.info
  • 8. ARTIGO Segurança Digitaldisponíveis, provendo segurança na medida certa pa­ da informação temos vários colaboradores envolvidos,ra seus ativos. onde cada um deles irá assumir um papel importante É importante ressaltar que todo este processo deve no processo. Podemos agrupar estas responsabilidadesser periódico, ou seja, deve ser sempre revisto de tem­ em quatro grupos principais:pos em tempos de forma a reavaliar o que está em vi­gor a fim de se constatar novas prioridades e 1. Proprietários das informações: são colabo­criticidades, lembrando que uma informação que pos­ radores responsáveis pela classificação das infor­sui um determinado valor hoje pode não possuir o mações, reclassificação e desclassificação e devemmesmo valor amanhã, podendo até mesmo se tornar participar de todo o processo referente à alteraçãodispensável para a organização. da mesma. 2. Custodiantes: são os responsáveis pelo arma­Conceitos zenamento e preservação das informações de ter­ A classificação da informação deve ser constituída ceiros. Um bom exemplo para estes profissionaispor uma política com normas e procedimentos a se­ seriam os colaboradores de infraestrutura que sãorem seguidos pelos colaboradores, constituindo em responsáveis por servidores com informações queuma política que deverá fazer parte do projeto de se­ não lhes pertencem.gurança da informação. Para compreender melhor es­ 3. Gerentes: respondem pelo grupo de usuárioste contexto, é importante que tenhamos em mente sob sua responsabilidade e por terceiros (visitantesalguns conceitos, buscando o entendimento necessá­ ou fornecedores) que utilizam informações da or­rio para iniciar o desenvolvimento da política de clas­ ganização.sificação da informação. Vamos dividir estes 4. Usuários: em geral são os colaboradores queconceitos aqui em dois grupos principais: conceitos possuem mais contato com a informação e fazemgerais e os atores, onde definiremos os papéis e as res­ maior uso dela.ponsabilidades. Abaixo podemos ver alguns concei­tos importantes quando falamos de classificação das Definindo os níveis de classificaçãoinformações: Os níveis de classificação são onde serão enqua­ dradas as informações de acordo com prévia avalia­ Identificação: Toda informação deve estar devida­ ção. São muito diversificados e podem variar de mente identificada. acordo com cada contexto em que está inserido, mas Tranquilidade: A classificação de determinada in­ no geral sua essência será sempre a mesma: definir formação não deve ser alterada sem prévia autori­ uma escala de relevância com proteção adequada pa­ zação. ra os ativos de informação da organização. Assim va­ Classificação: É a atribuição de um nível de prote­ mos analisar cenários de culturas diferentes para que ção da informação. possamos entender melhor estes conceitos. O primei­ Desclassificação: Remoção do nível de proteção ro deles é o governo dos Estados Unidos, que adota da informação, rebaixando sua classe. uma classificação por três níveis: Reclassificação: Altera o nível de proteção da in­ formação. Top Secret Right to Know: É o direito de saber as origens dos Devem ser classificadas neste nível as informações riscos a que estão expostas as informações. cuja divulgação não autorizada possa causar algum Need to Know: Compreende a real necessidade do dano grave a segurança nacional. usuário de acessar determinada informação. Least Privilege: Os usuários devem possuir privi­ Secret légios mínimos para cumprir sua função. Enquadram­se neste nível as informações cuja reve­ Auditoria: Deve­se manter um log de alterações lação não autorizada possa causar algum dano sério para fins de auditoria. a segurança nacional. System High Policy: A informação deve seguir o Confidential nível de proteção da classe mais alta. Informações cuja divulgação não autorizada possaCom relação aos atores, no processo de classificação causar algum dano à segurança nacional.|08 Março 2012 • segurancadigital.info
  • 9. ARTIGO Segurança Digital O segundo cenário, a classificação segundo o go­ guido por todas as organizações. Portanto poderãoverno brasileiro, define em seu decreto nº 4.553/2002 sofrer alterações de acordo com a necessidade de ca­os níveis de proteção em: da instituição. Assim vamos abordar aqui um modelo exemplificando sua aplicabilidade no mundo corpo­ Ultra­Secretos rativo: Dados ou informações referentes à soberania e à in­ tegridade territorial nacionais, a planos e operações militares, às relações internacionais do País [...], cu­ jo conhecimento não­autorizado possa acarretar da­ no excepcionalmente grave à segurança da sociedade e do Estado (4.553/2002, Art. 5º, § 1º). Secretos [...] Dados ou informações referentes a sistemas, instalações, programas, projetos, planos ou opera­ ções de interesse da defesa nacional, a assuntos di­ plomáticos e de inteligência [...], programas ou instalações estratégicos, cujo conhecimento não­au­ torizado possa acarretar dano grave à segurança da Na classificação de informações como “Públicas”, sociedade e do Estado (4.553/2002, Art. 5º, § 2º). exemplos comuns que se encaixam neste nível seri­ Confidenciais am catálogos de serviços, informações institucionais de portais corporativos, dentre outros, que não reque­ [...] Dados ou informações que, no interesse do Po­ rem um cuidado especial com relação á divulgação a der Executivo e das partes, devam ser de conheci­ terceiros, por possuir um conteúdo com baixa critici­ mento restrito e cuja revelação não­autorizada possa dade para a organização e havendo muitas vezes frustrar seus objetivos ou acarretar dano à segurança grande interesse na sua divulgação. Já as informa­ da sociedade e do Estado (4.553/2002, Art. 5º, § 3º). ções tidas com de “Uso Interno” são informações que Reservados devem transitar estritamente dentro das organizações. [...] Dados ou informações cuja revelação não­auto­ Podem estar neste contexto impressos, relatórios com rizada possa comprometer planos, operações ou ob­ informações de baixa criticidade para a empresa, etc. jetivos neles previstos ou referidos (4.553/2002, Art. Informações classificadas como “Restritas” são 5º, § 4º). informações mais sensíveis e, desta forma, devem ser manipuladas com cuidados especiais, geralmente Podemos constatar que as diferenças sempre irão com autorização do proprietário para demais fins.existir nas mais diversas culturas, mas o objetivo prin­ Um bom exemplo são as informações relativas aoscipal será sempre o mesmo: a proteção dos ativos de funcionários, como salários e promoções, que deveminformação contra possíveis danos causados pela sua ser de conhecimento apenas dos participantes de taismanipulação de forma incorreta. É importante citar processos na empresa.também que os ativos de informação deverão ser clas­ Temos para o nível mais alto desta cadeia de clas­sificados de acordo com cada meio em que está inseri­ sificação, informações que requerem alto grau dedo. Por exemplo, o descarte de uma informação atenção com sua proteção e manipulação. Informa­reservada possui características diferentes do descarte ções “Secretas” são informações onde poucos devemde uma informação ultra­sercreta assim como sua re­ ter conhecimento, geralmente colaboradores com po­produção, transmissão ou transporte e assim deve se­ sições estratégicas dentro das empresas. Aplicam­seguir para todos os níveis de classificação, meios ou neste cenário informações tais como chaves cripto­recursos existentes. gráficas, planos de lançamento de novos produtos, No âmbito corporativo também não é diferente. fusões ou novas aquisições e etc., que com certezaDeve existir uma classificação segundo o grau de sigi­ causariam um grande estrago para a organização casolo das informações, que seguirá os mesmos princípios tivessem seu conteúdo acessado por pessoas não au­dos governos citados, mas não existe um padrão se­ torizadas.|09 Março 2012 • segurancadigital.info
  • 10. ARTIGO Segurança Digital É importante ressaltar que a classificação por ní­ em: 10 de mar 2012.veis deve ser dividida em duas partes: meios digitaise meios não digitais. Informações presentes nestes FERREIRA, João Carlos Peixoto; NETO, Ennistendois meios possuem características diferentes, trafe­ Mudado; LEITE, Ricardo A. C.. Classificação dagam em locais diferentes e, portanto necessitam de Informação de acordo com normal ISO/IECcuidados diferentes em seu processo de classificação. 17799:2005. DisponívelLogo abaixo podemos visualizar um panorama geral em:<https://www.jhcruvinel.com/index.php?option=coda classificação da informação segundo o contexto re­ m_docman&task=doc_view&gi =62&Itemid=2>.tratado acima: Acesso em: 11 de mar 2012. Francisco Temponi, Fumec, 2011. Material didático. ISO/IEC 17799:2005. PIKE, Jonh. Security and Classification Disponível em: <http://www.ostgate.com/cla ssification.html>. Acesso em: 11 de mar 2012.Conclusão SECURITY HACKER. Disponível em: Podemos constatar que a classificação das informa­ <http://www.securityhacker.org/artigos/item/classificações é um processo de extrema relevância para as or­ cao­da­informacao>. Acesso em: 12 de mar 2012.ganizações. Porém, para que alcance seus objetivos,deve­se seguir todas as etapas necessárias, desde o le­ SILVA, Aldo. Disponível em: <http://hercules­vantamento inicial das necessidades do negócio até o now.com/2010/03/30/classificacao­da­informacao­treinamento dos usuários para o bom cumprimento %E2%80%93­parte­2/>. Acesso em: 12 de mar 2012.dos procedimentos originados da política de classifi­cação das informações, o que será fator decisivo paraque a política seja seguida conforme implantada e fun­cione de forma satisfatória. Deve ser acompanhadade forma constante pelos responsáveis, atualizada eotimizada sempre que necessário, para que reflitasempre o estado atual da organização e se constituaem mais uma importante ferramenta para a segurançadas informações dentro do ambiente organizacional. Thiago Fernandes Gaspar CaixetaBibliografiasAfonso Kalil, Fumec, 2011. Material didático. Graduado em Ciência da Computação e MBA em Gestão da Segurança da Infor­DECRETO Nº 4.553, DE 27 DE DEZEMBRO DE mação pela Universidade Fumec, atua na área de TI como Analista de Sistemas e2002. Disponível em: Segurança da Informação. Entusiasta da<http://www.planalto.gov.br/ccivil_03/decreto/2002/D forense computacional.4553.htm>. Acesso em: 10 de mar 2012.ELETRONIC PRIVACY INFORMATION CENTER.Disponível em: E­mail: thiago.caixeta@gmail.com Twitter: @tfgcaixeta<http://epic.org/open_gov/eo_12356.html>. Acesso|10 Março 2012 • segurancadigital.info
  • 11. Conheça os principais algoritmos de cifragemCriptografia simétricae assimétrica (parte 1) Não se esqueça de ler a continuidade deste artigo na próxima edição da Revista Segurança Digital... A palavra criptografia provém dos radicais gregos computacionais, estes que inseridos nos fundamentos kriptos (oculto) e grapho (escrita) e é o nome da­ da segurança da informação, são definidos pela dis­ do à ciência ou arte de codificar mensagens usan­ ponibilidade, integridade, controle de acesso, autenti­ do uma fórmula, que também será utilizada depois para cidade, não­repudiação e finalmente a privacidade, decodificar a mesma mensagem. Na criptografia moderna, os quais devem ser de livre compreensão e facilmen­ esta fórmula é chamada de algoritmo. Usada há milênios te perceptíveis ao se efetuar transações computacio­ pela humanidade, a criptografia se tornou essencial para nais: garantir a privacidade das comunicações no mundo atual, Disponibilidade ­ garantir que uma informação principalmente em redes de computadores públicas como estará disponível para acesso no momento deseja­ a internet, por onde circulam dados pessoais, comerciais, do. bancários e outros. Conhecer, difundir e utilizar algorit­ Integridade ­ garantir que o conteúdo da men­ mos criptográficos é essencial ao profissional de Tecnolo­ sagem não foi alterado. gia da Informação que no mundo moderno, entre suas Controle de acesso ­ garantir que o conteúdo da atribuições deve proteger e garantir a privacidade das tran­ mensagem somente será acessado por pessoas au­ sações comerciais realizadas através de meios eletrônicos, torizadas. assim é fundamental o entendimento das técnicas, seus al­ Autenticidade ­ garantir a identidade de quem goritmos, protocolos e finalmente a maneira como estes li­ está enviando a mensagem. dam com a informação a ser mantida segura. Não­repudiação ­ prevenir que alguém negue o envio e/ou recebimento de uma mensagem. Palavras chave: Criptografia; Algoritmo; Segurança. Privacidade ­ impedir que pessoas não autori­ zadas tenham acesso ao conteúdo da mensagem, 1. Introdução garantindo que apenas a origem e o destino tenham Quando falamos de informação e transportamos es­ conhecimento. te conceito para o meio digital, particularmente na uti­ lização das redes públicas de computação como a O exemplo clássico é uma compra pela internet, internet, e diversos são os serviços realizados é rele­ todos os requisitos são encontrados neste processo de vante ao ser humano à credibilidade nos sistemas troca de informações: A informação que permite a |11 Março 2012 • segurancadigital.info
  • 12. ARTIGO Segurança Digitaltransação ­ valor e descrição do produto ­ precisa algoritmo e sim na chave empregada. É ela (chaveestar disponível no dia e na hora que o cliente desejar privada) que agora, no lugar do algoritmo, deverá serefetuá­la (disponibilidade), o valor da transação não mantida em segredo pela origem (ALFA) e destinopode ser alterado (integridade), somente o cliente que (BRAVO).está comprando e o comerciante devem ter acesso à A principal vantagem é a simplicidade, estatransação (controle de acesso), o cliente que está técnica apresenta facilidade de uso e rapidez paracomprando deve ser realmente quem diz ser executar os processos criptográficos. Entenda que se(autenticidade), o cliente tem como provar o as chaves utilizadas forem complexas a elaboraçãopagamento e o comerciante não têm como negar o de um algoritmo de chave privada se torna bastanterecebimento (não­repúdio) e o conhecimento do fácil, porém as possibilidades de interceptação sãoconteúdo da transação fica restrito aos envolvidos correlatas aos recursos empregados, entretanto sua(privacidade). utilização é considerável no processo de proteção da Assim é fundamental que técnicas computacionais informação, pois quanto mais simples o algoritmo,sejam empregadas para que os requisitos de proteção melhor é a velocidade de processamento e facilidadeda informação sejam atendidos. Neste cenário de implementação.apresentam­se os dois tipos básicos de criptografia: a O principal problema residente na utilização destesimétrica ou chave privada, e a assimétrica ou chave sistema de criptografia é que quando a chave depública. ciframento é a mesma utilizada para deciframento, ou esta última pode facilmente ser obtida a partir do2. Criptografia simétrica ou chave privada conhecimento da primeira, ambas precisam ser O modelo mais antigo de criptografia, em que a compartilhadas previamente entre origem e destino,chave, isto é, o elemento que dá acesso à mensagem antes de se estabelecer o canal criptográficooculta trocada entre duas partes, é igual (simétrica) desejado, e durante o processo de compartilhamentopara ambas as partes e deve permanecer em segredo a senha pode ser interceptada, por isso é fundamental(privada). Tipicamente, esta chave é representada por utilizar um canal seguro durante o compartilhamento,uma senha, usada tanto pelo remetente para codificar este independente do destinado à comunicaçãoa mensagem numa ponta, como pelo destinatário para sigilosa, uma vez que qualquer um que tenha acessodecodificá­la na outra. à senha poderá descobrir o conteúdo secreto da Essencialmente, quando a origem (ALFA) cifra mensagem. Outras lacunas são interpostas a esteuma mensagem, ele utiliza um algoritmo de sistema:ciframento para transformar o conteúdo em claro damensagem em texto cifrado. Quando o destino Como cada par necessita de uma chave para se(BRAVO) decifra uma mensagem, ele utiliza o comunicar de forma segura, para um uma rede dealgoritmo de deciframento correspondente para n usuários precisaríamos de algo da ordem de n2converter o texto cifrado de novo em uma mensagem chaves, quantidade esta que dificulta a gerênciaclara. Se um intruso (CHARLIE) conhecer o das chaves;algoritmo de ciframento, ele poderia decifrar uma A chave deve ser trocada entre as partes e arma­mensagem cifrada tão facilmente quanto o destino zenada de forma segura, o que nem sempre é fácil(BRAVO). A solução no uso da criptografia de chave de ser garantido;privada propõe que quando a origem (ALFA) cifra A criptografia simétrica não garante os princípi­uma mensagem, ele utilize um algoritmo de os de autenticidade e não­repudiação.ciframento e uma chave secreta para transformar umamensagem clara em um texto cifrado. O destino(BRAVO), por sua vez, ao decifrar a mensagem,utiliza o algoritmo de deciframento correspondente ea mesma chave para transformar o texto cifrado em Tabela 1 ­ Principais algoritmos de chave privada ouuma mensagem em claro. O intruso (CHARLIE), por criptografia simétricanão possuir a chave secreta, mesmo conhecendo oalgoritmo, não conseguirá decifrar a mensagem. Asegurança do sistema passa a residir não mais no|12 Março 2012 • segurancadigital.info
  • 13. ARTIGO Segurança Digital Algoritmo Bits Descrição O Advanced Encryption Standard (AES) é uma cifra de bloco, anunciado pelo National Institute of Standards and Technology (NIST) em 2003, fruto de concurso para escolha de um novo algoritmo de chave simétrica para proteger informações do governo federal, sendo adotado como padrão pelo go­ AES 128 verno dos Estados Unidos, é um dos algoritmos mais populares, desde 2006, usado para criptografia de chave simétrica, sendo considerado como o padrão substituto do DES. O AES tem um tamanho de bloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bits, ele é rápido tanto em software quanto em hardware, é relativamente fácil de executar e requer pouca memória. O Data Encryption Standard (DES) foi o algoritmo simétrico mais disseminado no mundo, até a pa­ dronização do AES. Foi criado pela IBM em 1977 e, apesar de permitir cerca de 72 quadrilhões de DES 56 combinações, seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "força bruta" em 1997 em um desafio lançado na internet. O NIST que lançou o desafio mencionado, recerti­ ficou o DES pela última vez em 1993, passando então a recomendar o 3DES. O 3DES é uma simples variação do DES, utilizando o em três ciframentos suscessivos, podendo em­ 3DES 112 ou 168 pregar uma versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser um algoritmo padrão. O International Data Encryption Algorithm (IDEA) foi criado em 1991 por James Massey e Xuejia Lai e possui patente da suíça ASCOM Systec. O algoritmo é estruturado seguindo as mesmas linhas gerais IDEA 128 do DES. Mas na maioria dos microprocessadores, uma implementação por software do IDEA é mais rápida do que uma implementação por software do DES. O IDEA é utilizado principalmente no merca­ do financeiro e no PGP, o programa para criptografia de e­mail pessoal mais disseminado no mundo. Algoritmo desenvolvido por Bruce Schneier, que oferece a escolha, entre maior segurança ou desem­ Blowfish 32 a 448 penho através de chaves de tamanho variável. O autor aperfeiçoou o no Twofish. É uma das poucas cifras incluídas no OpenPGP. O Twofish é uma chave simétrica que emprega a cifra de bloco de 128 bits, utilizando chaves de tamanhos variáveis, podendo ser de 128, 192 ou 256 bits. Ele Twofish 128 realiza 16 interações durante a criptografia, sendo um algoritmo bastante veloz. A cifra Twofish não foi patenteada estando acessível no domínio público, como resultado, o algoritmo Twofish é de uso livre para qualquer um utilizar sem restrição. Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e utilizado no protocolo S/MIME, RC2 8 a 1024 voltado para criptografia de e­mail corporativo. Também possui chave de tamanho variável. Rivest também é o autor dos algoritmos RC4, RC5 e RC6. É um algoritmo de cifra de bloco, sendo criado em 1996 por Carlisle Adams e Stafford Tavares. O CAST CAST­128 é um algoritmo de Feistel, com 12 a 16 iterações da etapa principal, tamanho de bloco de 64 128 bits e chave de tamanho variável (40 a 128 bits, com acréscimos de 8 bits). Os 16 rounds de iteração são usados quando a chave tem comprimento maior que 80 bits.3. Criptografia assimétrica ou chave sagem é este bem, e o cadeado, que pode ficarpública exposto, é a chave pública. Apenas quem tiver uma Modelo de criptografia criado na década de 1970 ­ chave particular (privada) que consiga abrir o cadea­pelo matemático Clifford Cocks que trabalhava no do poderá acessar a mensagem. A principal vantagemserviço secreto inglês, o GCHQ ­ na qual cada parte deste método é a sua segurança, pois não é precisoenvolvida na comunicação usa duas chaves diferentes (nem se deve) compartilhar a chave privada. Por ou­(assimétricas) e complementares, uma privada e outra tro lado, o tempo de processamento de mensagenspública. Neste caso, as chaves não são apenas senhas, com criptografia assimétrica é muitas vezes maior domas arquivos digitais mais complexos (que eventual­ que com criptografia simétrica, o que pode limitarmente até estão associados a uma senha). A chave pú­ seu uso em determinadas situações.blica pode ficar disponível para qualquer pessoa que Essencialmente, o destino (BRAVO) e todos osqueira se comunicar com outra de modo seguro, mas que desejam comunicar­se de modo seguro gerama chave privada deverá ficar em poder apenas de cada uma chave de ciframento e sua correspondente chavetitular. É com a chave privada que o destinatário pode­ de deciframento. Ele mantém secreta a chave de de­rá decodificar uma mensagem que foi criptografada ciframento, esta é chamada de sua chave privada. Elepara ele com sua respectiva chave pública. torna pública a chave de ciframento, esta é chamada Para entender o conceito, basta pensar num cadea­ de sua chave pública. A chave pública realmente con­do comum protegendo um determinado bem. A men­ diz com seu nome. Qualquer pessoa pode obter uma|13 Março 2012 • segurancadigital.info
  • 14. ARTIGO Segurança Digitalcópia dela. O destino (BRAVO) inclusive encoraja is­ (BRAVO), não pode decifrá­la agora.to, enviando­a para seus amigos ou publicando­a na A grande vantagem deste sistema é permitir ainternet. Assim, O intruso (CHARLIE) não tem ne­ qualquer um enviar uma mensagem secreta, apenasnhuma dificuldade em obtê­la. Quando a origem (AL­ utilizando a chave pública de quem irá recebê­la. Co­FA) deseja enviar uma mensagem ao destino mo a chave pública está amplamente disponível, não(BRAVO), precisa primeiro encontrar a chave pública há necessidade do envio de chaves como feito nodele. Feito isto, ela cifra sua mensagem utilizando a modelo simétrico. A confidencialidade da mensagemchave pública do destino (BRAVO), despachando­a é garantida, enquanto a chave privada estiver segura.em seguida. Quando o destino (BRAVO) recebe a Caso contrário, quem possuir acesso à chave privadamensagem, ele a decifra facilmente com sua chave terá acesso às mensagens.privada. O intruso (CHARLIE), que interceptou a O óbice deste sistema é a complexidade emprega­mensagem em trânsito, não conhece a chave privada da no desenvolvimento dos algoritmos que devem serdo destino (BRAVO), embora conheça sua chave pú­ capazes de reconhecer a dupla de chaves existentes eblica. Mas este conhecimento não o ajuda a decifrar a poder relacionar as mesmas no momento oportuno, omensagem. Mesmo a origem (ALFA), que foi quem que acarreta num grande poder de processamentocifrou a mensagem com a chave pública do destino computacional.Tabela 2 ­ Principais algoritmos de chave pública ou criptografia assimétrica Algoritmo Descrição O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977 no MIT. Atualmente, é o algoritmo de chave pública mais amplamente utilizado, além de ser uma das mais poderosas formas de criptografia de chave pública conhecidas até o momento. O RSA utiliza números primos. A premissa por trás do RSA consiste na facilidade de multiplicar dois números primos para obter um terceiro número, mas muito difícil de recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Por exemplo, os fatores primos de 3.337 são 47 e 71. Gerar a chave pública envolve multiplicar dois primos grandes; qualquer um pode fazer isto. Derivar a chave privada a partir da chave pública RSA envolve fatorar um grande número. Se o número for grande o suficiente e bem escolhido, então ninguém pode fazer isto em uma quantidade de tempo razoável. Assim, a segurança do RSA baseia se na dificuldade de fatoração de números grandes. Deste modo, a fatoração representa um limite superior do tempo necessário para quebrar o algoritmo. Uma chave RSA de 512 bits foi quebrada em 1999 pelo Instituto Nacional de Pesquisa da Holanda, com o apoio de cientistas de mais 6 países. Levou cerca de 7 meses e foram utilizadas 300 estações de trabalho para a quebra. No Brasil, o RSA é utilizado pela ICP­Brasil, no seu sistema de emissão de certificados digitais, e a partir do dia 1º de janeiro de 2012, as chaves utilizadas pelas autoridades certificadoras do país, passam a serem emitidas com o comprimento de 4.096bits, em vez dos 2.048bits atuais. O ElGamal é outro algoritmo de chave pública utilizado para gerenciamento de chaves. Sua matemática difere da utilizada no RSA, mas também é um sistema comutativo. O algoritmo envolve a manipulação matemática de ElGamal grandes quantidades numéricas. Sua segurança advém de algo denominado problema do logaritmo discreto. Assim, o ElGamal obtém sua segurança da dificuldade de calcular logaritmos discretos em um corpo finito, o que lembra bastante o problema da fatoração. Também baseado no problema do logaritmo discreto, e o criptosistema de chave pública mais antigo ainda em uso. O conceito de chave pública, aliás foi introduzido pelos autores deste criptosistema em 1976. Contudo, ele não Diffie­ permite nem ciframento nem assinatura digital. O sistema foi projetado para permitir a dois indivíduos entrarem em Hellman um acordo ao compartilharem um segredo tal como uma chave, muito embora eles somente troquem mensagens em público. Em 1985, Neal Koblitz e V. S. Miller propuseram de forma independente a utilização de curvas elípticas para sistemas criptográficos de chave pública. Eles não chegaram a inventar um novo algoritmo criptográfico com curvas elípticas sobre corpos finitos, mas implementaram algoritmos de chave pública já existentes, como o algoritmo de Diffie­Hellman, usando curvas elípticas. Assim, os sistemas criptográficos de curvas elípticas consistem em Curvas modificações de outros sistemas (o ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas, Elípticas em vez de trabalharem no domínio dos corpos finitos. Eles possuem o potencial de proverem sistemas criptográficos de chave pública mais seguros, com chaves de menor tamanho. Muitos algoritmos de chave pública, como o Diffie­Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos. Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública, o grande tamanho de suas chaves. Porém, os algoritmos de curvas elípticas atuais, embora possuam o potencial de serem rápidos, são em geral mais demorados do que o RSA.|14 Março 2012 • segurancadigital.info
  • 15. ARTIGO Segurança Digital4. Certificado digital JUS), Autoridade Certificadora da Presidência da Com um sistema de chave pública, o República (AC­PR) e Casa da Moeda do Brasil (AC­gerenciamento de chaves passa a ter dois novos CMB).aspectos: primeiro, deve­se previamente localizar a Assim, a AC­Raiz tem autoridade de emitir,chave pública de qualquer pessoa com quem se expedir, distribuir, revogar e gerenciar os certificadosdeseja comunicar e, segundo, deve­se obter uma das autoridades certificadoras de nível imediatamentegarantia de que a chave pública encontrada seja subsequente ao seu, sendo também encarregada deproveniente daquela pessoa. Sem esta garantia, um emitir a lista de certificados revogados e de fiscalizarintruso pode convencer os interlocutores de que e auditar as autoridades certificadoras, autoridades dechaves públicas falsas pertencem a eles. registro e demais prestadores de serviço habilitadosEstabelecendo um processo de confiança entre os na ICP­Brasil. Além disso, verifica se as autoridadesinterlocutores, o intruso pode fazer­se passar por certificadoras (ACs) estão atuando em conformidadeambos. Deste modo, quando um emissor enviar uma com as diretrizes e normas técnicas estabelecidasmensagem ao receptor solicitando sua chave pública, pelo Comitê Gestor.o intruso poderá interceptá­la e devolver­lhe umachave pública forjada por ele. Ele também pode fazero mesmo com o receptor, fazendo com que cada ladopense que está se comunicando com o outro, quandona verdade estão sendo interceptados pelo intruso,então este pode decifrar todas as mensagens, cifrá­lasnovamente ou, se preferir, até substituí­las por outras Continua na próxima edição...mensagens. Através deste ataque, um intruso podecausar tantos danos ou até mais do que causaria se Aguarde a próxima edição de nossa revista paraconseguisse quebrar o algoritmo de ciframento poder conferir a continuidade deste artigo. Veja abai­empregado pelos interlocutores. xo os pontos que ainda serão vistos: A garantia para evitar este tipo de ataque érepresentada pelos certificados de chave pública, 5. Assinatura digital;comumente chamados de certificado digital, tais 6. Função hashing;certificados consistem em chaves públicas assinadas 7. Sistemas híbridos;por uma pessoa de confiança. Servem para evitar 8. Conclusão.tentativas de substituição de uma chave pública poroutra. O certificado contém algo mais do que suachave pública, ele apresenta informações sobre onome, endereço e outros dados pessoais, e é assinadopor alguém em quem o proprietário deposita suaconfiança, uma autoridade de certificação(certification authority ­ CA). Assim, um certificadodigital pode ser definido como um documento Ronielton Rezende Oliveiraeletrônico, assinado digitalmente por uma terceira MBA Executivo Internacional pela Ohioparte confiável. University/USA; MBA Gerenciamento No Brasil, o órgão da autoridade certificadora raiz de Projetos pela FGV; pós­graduadoé o ICP­Brasil (AC­Raiz), ele é o executor das Criptografia e Segurança em Redes pelapolíticas de certificados e normas técnicas e UFF; graduado Ciência da Computaçãooperacionais aprovadas pelo Comitê Gestor da ICP­ pela UninCor. Certificado PMP, CobiT,Brasil. São autoridades certificadoras no país: Serpro ITIL. Carreira direcionada em Gover­ nança de TI, Segurança da Informação e(AC­SERPRO), Caixa Econômica Federal (AC­ Gerenciamento de Projetos.CAIXA), Serasa Experian (AC­SERASA), ReceitaFederal do Brasil (AC­RFB), Certsing (AC­ Site: http://www.ronielton.eti.brCertisign), Imprensa Oficial do Estado de São Paulo Email: ronielton@ronielton.eti.br(AC­IOSP), Autoridade Certificadora da Justiça (AC­ Twitter: @ronielton|15 Março 2012 • segurancadigital.info
  • 16. VOCÊ também faz parte do jogo!!! A Internet se tornou um verdadeiro tabuleiro de Xadrez. As nações são Reis e Rai­ nhas, empresas de segurança são bispos e cavalos, analistas de TI as Torres e os usuários são os Peões!!!CyberWar a realidadeque você desconhece “Não sei como será a Terceira Guerra Mundial, mas po­ derei vos dizer como será a Quarta: com paus e pedras.” Albert Einstein Vírus, DDoS e CyberWar, há alguma relação entre No fim dos anos 90 e inicio dos anos 2000 tive­ eles? Para respondermos a essa questão é preciso vol­ mos o grande "BOOM" de propagação de vírus no tar um pouco na história da computação e entender co­ mundo. Diversos Worms foram criados e milhões de mo tudo começou. sistemas foram infectados, prejudicados e até mesmo 1982 o vírus considerado como precursor de tudo inutilizados. Alguns dos principais vírus foram o o que vemos hoje, foi criado por um garoto de 15 "Chernobyl" de 1999, "I love You" de 2000, "Nim­ anos... da" de 2001, "SQL Slammer" de 2003 e "Sasser" de 1983 o pesquisador Len Eidelmen apresentou, em 2004. A principal característica entre eles? O poder um seminário de segurança computacional, o que se­ de propagação e indisponibilidade de sistemas. ria o primeiro código de computadores com capacida­ Aproveitando a expansão dos vírus na internet, o de para se auto­replicar e no ano seguinte o termo email se tornou o principal meio de distribuição de VÍRUS foi definido como um programa com capaci­ novas pragas, cerca de 67% de todos os emails que dade de alterar o código de outros programas replican­ circulam na internet atualmente são SPAM e esse nú­ do assim seu código para outras partes do sistema. mero já chegou a 97% entre o fim de 2009 e inicio de 1986 o primeiro virus para PC foi descoberto e a 2010. Os ataques tem se tornado mais seletivos e ele deram o nome de Brain. Criado para infectar a complexos e não tem visado apenas usuários comuns, área de boot dos sistemas, o Brain era transmitido por mas executivos de grandes corporações, chefes mili­ disquetes e seu método de infecção foi bastante "po­ tares e governantes. pular" até meado dos anos 90. Com o aumento da capacidade de navegação e do 1988 o primeiro código malicioso transmitido pela uso dos smartphones, os códigos maliciosos começa­ internet ficou conhecido como Morris Worm e foi dis­ ram a serem distribuídos diretamente pelos sites e tribuído acidentalmente para cerca de 60.000 compu­ aplicativos. As vulnerabilidades presentes nas aplica­ tadores conectados que tiveram seu sistema ções e browsers e a falta de conhecimento do usuário operacional inutilizado. A propagação e eficácia do facilitam esse trabalho. Praticamente toda semana é Morris Worm foi ocasionada devido ao um erro no có­ publicada uma matéria com o aumento dos códigos digo do programa. Ao tentar ser processado pelos sis­ maliciosos desenvolvidos para o sistema Android e temas os mesmos acabavam sendo corrompidos. não faltam artigos do mesmo problema para o iOS. |16 Março 2012 • segurancadigital.info
  • 17. ARTIGO Segurança Digital 2006 crackers russos causaram a indisponibilidade do que o tratado de agressões da OTAN vale tambémde vários sites e serviços da Estônia. Os ataques ocor­ para o mundo virtual. “Todos os estados possuem umreram em represália à remoção de uma estátua de direito inerente de autodefesa, e reconhecemos quebronze de um soldado da 2ª Guerra Mundial na cida­ certos atos hostis realizados através do ciberespaçode de Tallinn. A estátua era em homenagem ao triunfo podem obrigar ações no âmbito dos compromissossoviético sobre as tropas nazistas. Os ataques foram que temos com nossos parceiros de tratados milita­tão intensos e por um período tão longo que especia­ res”, afirma o documento. “Atividades realizadas nolistas da OTAN, União Européia e EUA se reuniram ciberespaço têm consequências para a nossa vida noem Tallinn a fim de ajudar e tentar encontrar uma for­ espaço físico, e temos de trabalhar para a construçãoma de lidar de forma efetiva com os ataques. Diver­ do estado de direito.” O relatório cita nominalmentesos outros países foram envolvidos nesse conflito e a OTAN como exemplo desses tratados militares. Is­"felizmente" em 10 de maio de 2007 os ataques fo­ so se deve ao fato de a maioria dos tratados e das leisram interrompidos abruptamente, isso só ocorreu por­ não abrangerem a Internet como "campo de batalha".que o tempo de uso dos servidores "alugados" pelos Nos últimos anos os ataques DDoS tem se intensi­crackers havia se esgotado. ficado e passaram a ser utilizados não apenas por 2007 o governo chinês foi acusado de autorizar “hacktivistas” mas por nações. O grupo Anonymousseus militares a tentarem invadir os sistemas america­ se tornou mundialmente conhecido ao causar a indis­no, alemão, do reino unido e francês. De acordo com ponibilidade de sites financeiros por retirarem seusesses governos a finalidade do ataque chinês era o patrocínios e bloqueio de contas do Wikileaks. Visan­roubo de informações confidenciais militares. Por sua do aumentar o seu poderio, começou a distribuir umvez, o governo chinês afirmou que é totalmente con­ aplicativo DDoS para usuários que apoiem a “causa”.tra qualquer tipo de ataques do tipo e que também era O mesmo grupo está agora alertando a seus “usuá­vítima do mesmo tipo de ataque e que seus sistemas rios” sobre alguns links aonde distribuíam a versãoforam bastante prejudicados com tais atos. do seu aplicativo de ataque DDoS. Os links foram al­ 2008, a Rússia foi acusada pela Geórgia de atacar terados por “crackers” para baixar uma versão dovirtualmente seus sistemas enquanto o exército russo Slowloris modificado que contém o Trojan Zeus.invadia o país. Infraestruturas tecnológicas da Geór­ Zeus é responsável pelo roubo de dados pessoais egia foram indisponibilizados. O governo russo negou bancários nos computadores aonde está instalado e équalquer acusação e "oficialmente" divulgou que os considerado o TROJAN com maior número de infec­ataques foram gerados por grupos crackers. ções existentes atualmente. 2010 o governo Iraniano acusa os EUA e Israel deplantar um vírus com código extremamente detalhadoe eficiente nos sistemas de energia nuclear do país ecausar o sua interrupção. O vírus em questão é conhe­cido como Stuxnet, sua disseminação é global eEUA, Inglaterra, Alemanha, Australia, entre outros,já informaram que também tiveram seus sistemas in­fectados por ele. O que o torna tão especial e perigo­so é o fato dele ter sido desenvolvido para atacar umsistema desenvolvido especificamente pela Siemens(SCADA) que é utilizado para controle de equipamen­tos de tubulação de petróleo, centrais elétricas, aero­portos, navios, etc. No caso em questão, ascentrífugas de enriquecimento iranianas é que foramafetadas, mas nada impede que danos maiores pos­sam ser causados, como a abertura ou fechamento dedistribuição de gás ou água provocando danos físicos. Figura 1 ­ Grupo de hacktivistas que se especializou Em 2010 foi divulgado pelo governo Norte Ameri­ em atacar grandes organizações (Interpol, CIA, etc).cano um relatório de Estratégia Internacional para oCyberespaço (ISC na sigla em Inglês) aonde é sugeri­ A CyberWar já é uma realidade, a todo instante|17 Março 2012 • segurancadigital.info
  • 18. ARTIGO Segurança Digitalmilhares de ataques são disparados e a dificuldade zem que uma guerra tecnológica pode ter danos supe­em identificar a sua origem ou de punir os responsá­ riores a uma guerra nuclear.veis é o maior facilitador para essa propagação. Se a 3ª Guerra Mundial ocorrer, as nações com Diferentemente de um ataque presencial, a INTER­ maior poderio tecnológico são as que mais sofrerãoNET nos proporciona estar em contato com X pesso­ com uma possível guerra por possuírem uma maioras e Y locais do mundo ao mesmo tempo. Com um dependência da tecnologia, porém são elas mesmaspouco de conhecimento e disposição é possível fazer que estão promovendo essa disputa “tecno armamen­um grande estrago a alguém ou alguma empresa e até tista”.mesmo causar incidentes internacionais. Afinal, nãohá como provar que foi um indivíduo de forma inde­ Stuxnetpendente que invadiu a NASA e não o governo Chi­ O Stuxnet foi o primeiro worm de computadornês. Assim como não há como provar quem tirou do a incluir um rootkit de CLP. Também é o primeiroar o site do partido Comunista. Mesmo que seja acei­ worm conhecido a ter como alvo infraestrutura in­to que o ataque originado não foi militar, o porque do dustrial crítica. Diversas mídias caracterizaram oindivíduo não ter sido identificado e capturado sem­ Stuxnet como um vírus de computador sofisticadopre levantará suspeitas de proteção e apoio de cada e complexo.nação. Um estudo realizado pela empresa de segurança MobilidadeNorthrop Grumman, aponta o aumento da preocupa­ Não é de agora que os dispositivos móveis temção Norte Americana com o avanço tecnológico chi­ ganho a atenção da mídia e principalmente dosnês. A grande complexidade e distribuição dos usuários. Cada vez menores e com mais recursos ecomponentes microeletrônicos e de telecomunicações velocidade de processamento, eles tem se tornadodificulta, e até impossibilita, que as empresas possam uma opção vantajosa para ter acesso a informa­atestar a autenticidade desses componentes. Firmwa­ ções digitais. A tendência de crescimento é expo­res podem conter acessos secretos em seus códigos e nencial e a possibilidade de ter acesso ao ambienteum serviço de inteligência pode utilizar desse recurso e as informações empresariais faz com que muitaspara invadir os sistemas sem que seja identificado. O pessoas comecem a tê­los como “computador”Governo Chinês tem investido fortemente em pesqui­ principal em detrimento do desktops e notebooks.sas tecnológicas e de segurança nas Universidades do Este é um trecho do artigo de Luiz Felipe 3ª edi­país. "Os líderes chineses adotaram a ideia de que pa­ ção novembro da Revista Segurança Digital. Cadara vencer uma guerra é preciso ter controle externo vez mais utilizados e presentes no dia­a­dia os dis­das informações e sistemas, geralmente de forma pre­ positivos moveis agora estão na mira dos crimino­ventiva". "Comandantes chineses podem escolher sos virtuais, então não pense que só por ser umusar o acesso profundo às redes norte­americanas de "celular/smartphone" você esta seguro ao utilizá­logística e controlar os dados para coletar informa­ lo.ções de alto valor em tempo real ou corromper os da­dos sem destruir redes ou hardwares", diz o estudo. A prova de que mesmo aqui no Brasil já há preocu­ Julio Carvalhopação quanto a Cyberwar é que o Exército brasileirofinalizou recentemente duas licitações para compras Graduado em Redes de Computadoresde softwares de antivírus e simulação e ataques virtu­ e Pós Graduado em Auditoria e Segu­ais que serão desenvolvidos exclusivamente por em­ rança de Sistemas pela Universidadepresas brasileiras. O investimento de cerca de R$ Estácio de Sá, Especialista em Códigos6.000.000,00 é parte da estratégia militar para alcan­ Maliciosos e Sistemas de Correio Ele­çar um alto nível tecnológico até 2015. trônico, com mais de 10 anos de experi­ ência em Infraestrutura e Segurança de Durante o período da Guerra Fria (capitalismo Nor­ ambientes, com certificações em produ­te Americano e socialismo/comunismo Soviético), o tos da linha Lotus/IBM e Trend Micro.mundo viveu momentos de tensão durante alguns di­as com o iminente início de uma 3ª Guerra Mundial Linkedin: http://br.linkedin.com/in/julioinfocom armamentos nucleares, alguns especialistas di­ Email: julioinfo@gmail.com|18 Março 2012 • segurancadigital.info
  • 19. Direito & TI – os desafios do “novo CARREIRAS:profissional do direito” em 2012 DIREITO & TI O que você precisa saber para dar o pontapé inicial na sua carreira de advogado atuante com as questões de Tecnologia da Informação L ogo que a 4ª edição da Revista Segurança Di­ zer que para a matéria ser reconhecida como um gital foi lançada, em janeiro passado, fui surpreen­ ramo autônomo do Direito, deva ser estudada seguin­ dida com pedidos de leitores para elaboração de do a mesma linha de pesquisa que as outras matérias um artigo sobre o profissional de Direito Digital, os ca­ tradicionais seguem. minhos que devem ser trilhados, as dificuldades encontra­ A verdade é que reconhecendo ou não como ramo das e a obtenção de informações a respeito. autônomo do Direito, o Direito Eletrônico encontra­ O domínio do conhecimento no assunto ainda pas­ se tão intrinsecamente ligado a outros ramos do Di­ sa longe do alcance da grande maioria dos profissio­ reito, que não estudá­lo com mais profundidade cul­ nais, isso ocorre por alguns motivos: minaria na negligência de considerações essenciais O primeiro deles, é o acesso acadêmico à matéria. ao Direito e aos ramos do Direito atingidos pelas tec­ A grande maioria dos cursos de Direito não aborda a nologias, o Direito Penal e o Direito de Autor como disciplina do Direito Eletrônico, ou preferencialmen­ exemplos. te chamado por algums por Direito de Informática, Enquanto profissional que abraçou a matéria do ou por outros como Direito Digital, Direito da Socie­ Direito Eletrônico no desempenho das atividades la­ dade da Informação, Direito da Tecnologia da Infor­ borais diárias, reconheço inúmeras dificuldades, den­ mação, dentre outras denominações. tre elas a busca em desenvolver a matéria na região Além disso, a produção doutrinária, que já foi es­ Nordeste do Brasil, que já é nacionalmente reconhe­ cassa, tem crescido bastante no tocante à matéria, cida como pólo tecnológico, com suas empresas de mas ainda não percebe­se uma formação doutrinária Tecnologia da Informação. O grande desafio é trazer uniforme, que fundamente a existência ou criação de este reconhecimento também para os profissionais um novo ramo do Direito. que atuam nas questões que envolvem Direito e Tec­ Existe, sim, influência das tecnologias em diver­ nologia na região. sos ramos clássicos do Direito. Porém, ainda não está São Paulo e Rio de Janeiro já contam com grandes consolidada a doutrina que trate de maneira uniforme bancas de advogados especializados na influência a matéria do “Direito material Eletrônico” e do “Di­ das tecnologias sobre o Direito. reito Processual Eletrônico”, o que não significa di­ Mas o que de fato constitui o diferencial destes |19 Março 2012 • segurancadigital.info
  • 20. ARTIGO Segurança Digitalprofissionais que se dedicam ao estudo de uma maté­ria tão pouco divulgada diante de tantas outras oportu­ Pós Graduação em Direito da Tecnologia da In­nidades que o Direito possui? A possibilidade de formação – Fundação Getúlio Vargas FGV (maisinovar e de fazer parte da criação de uma doutrina na­ informações em:cional sobre o assunto. http://www5.fgv.br/fgvonline/InternaInternaCurso. Poucas são as áreas do Direito que ainda possuem aspx?prod_cd=DTIEAD_00)espaço para absorverem tal nível de inovação. Ao mesmo tempo, inovação exige um perfil empre­ Mestrado Científico em Direito Intelectual –endedor do profissional, que aposta num ramo ainda Universidade de Lisboa FDUL (mais informaçõesem desenvolvimento no mercado nacional, e que se em:mostra bastante promissor. http://www.fd.ul.pt/CursosAlunos/MestradoCientifi Por isso, aproveitando a oportunidade que tenho co/201112/DireitoIntelectual.aspx)para falar de minhas próprias experiências no ramo,indico que os interessados busquem, além da leitura Mestrado em Direito das Telecomunicações edoutrinária, essencial à formação científica do pesqui­ Tecnologia da Informação – Universidad Carlossador, cursos especializados na área do Direito e Tec­ III de Madrid (mais informações em:nologia da Informação. http://www.uc3m.es/portal/page/portal/postgrado_ Estes cursos acabam por dar o impulso inicial na mast_doct/masters/Master_en_Derecho_de_las_Telformação científica do profissional, estabelecendo ecomunicaciones_y_TI)contato com professores que além de doutrinadoresno assunto, são profissionais de sucesso da área, além Para os curiosos do assunto e que desejam lerde pôr o aluno em contato com o que há de produção mais a respeito do assunto Segurança e Internet,doutrinária no assunto. segue link com uma lista de vários blogs especiali­ zados no assunto, fornecidos pelo leitor Moises de Dentre os cursos especializados em Direito e Tec­ Oliveira Cassanti:nologia da Informação existentes no Brasil, seguem http://sseguranca.blogspot.com/2011_10_01_archivalgumas sugestões: e.html Especialização em Direito e Tecnologia da In­ formação – Escola Superior da Advocacia ESA – SP (mais informações em: http://esaoabsp.edu.br/Curso.aspx?Cur=229) Curso de Curta Duração em Direito da Tecno­ logia da Informação – Universidade de Fortaleza UNIFOR (mais informações em: http://www.unifor.br/index.php?option=com_conte nt&view=article&id=3385&Itemid=1408) Lígia Barroso MBA em Direito Eletrônico – Escola Paulista de Direito (mais informações em: Advogada, atuante em Direito Eletrônico e Propriedade Intelectual. Mestranda em Di­ http://www.epd.edu.br/cursos/pos­graduacao/mba­ reito da Propriedade Intelectual na Univer­ em­direito­eletronico) sidade de Lisboa (FDUL), Especialista em Direito Eletrônico e Tecnologia da Infor­ Especialização em Direito Eletrônico e Inteli­ mação pelo Centro Universitário da Gran­ gência Cibernética – Faculdade Especializada em de Dourados (UNIGRAN). Direito FADISP (mais informações em: http://www.fadisp.com.br/posgraduacao.php?pagin Email: ligiabarroso@hotmail.com a=cursos_direito_eletronico) Twitter: @ligiaabarroso|20 Março 2012 • segurancadigital.info
  • 21. contra os ataques DNSDNSSEC - O antídoto Introdução ponto central com as informações de todos dos domí­ O DNS é um dos principais serviços de infraestru­ nios do planeta, o que facilitaria ataques direcionados tura da internet. Entretanto, na época que foi criado visando um “apagão” da internet. não havia uma preocupação com a segurança, tornan­ A descoberta dos servidores que respondem por do­o vulnerável a vários tipos de ataques, que usam um domínio é chamado de resolução do nome ou re­ dados falsos para redirecionar o tráfego da Internet pa­ solução de domínio. Resumidamente inicia­se por ra sites fraudulentos e endereços indesejados. A exten­ um servidor DNS primário que aponta outro secun­ são DNSSEC provê a segurança necessária para dário e assim sucessivamente. mitigar esses ataques. Servidor raiz O que é DNS? O servidor DNS que está no topo da internet é o Antes, precisamos conhecer o DNS (Domain Na­ servidor raiz, conhecido também como root server. me System). É um sistema usado em redes TCP/IP pa­ Possui uma pequena tabela que indica qual DNS será ra a organização e identificação de domínios. Ele responsável pela resolução dos domínios para cada fornece um nome para um ou mais endereços IP de extensão de domínio (Top Level Domain) diferente. um domínio, facilitando a memorização de URLs e Os Top Level Domains são de dois tipos: gTLDs endereços de e­mail. Sem o DNS, seria necessário di­ (Generic Top Level Domains – domínios genéricos gitar números para cada visita a um site, pois os com­ como .edu, .com, .org, etc.. ) e ccTLDs (Country Co­ putadores e outros dispositivos usam endereços IP de Top Level Domains – extensões de domínios ad­ para se comunicarem e se identificarem na rede mun­ ministrados pelos países). Como exemplo de dial. ccTLDs, a Registro.br responde pelos domínios .br, O DNS armazena um registro de cada domínio já para gTLDs podemos citar a Verisign como res­ existente, definindo o IP (ou vários IP’s) do servidor ponsável pelos domínios .com de hospedagem. Por questões de segurança e também Existem 13 servidores DNS raiz lógicos (conheci­ devido ao crescente tráfego da internet, decidiu­se do por uma letra do alfabeto, de A a M), e centenas que a estrutura seria hierárquica e descentralizada de servidores físicos no mundo todo (inclusive no (distribuída globalmente). Não há somente um único Brasil) controlados por várias empresas e organiza­ |21 Março 2012 • segurancadigital.info
  • 22. ARTIGO Segurança Digitalções como a Verisign e a ICANN. A figura abaixo mostra a localização deles ao redor do planeta. detectáveis, validan­ do os dados e garan­ tindo a origem das informações. Note no gráfico abaixo que não é de agora que essa exten­ são vem sido discuti­ da. Em 2010 o DNSSEC foi imple­ mentado nos root­ servers. Alguns do­ mínios chave como .gov, .org, .edu e .net passaram a estar ap­ tos para utilizar a ex­ tensão. Uma boa notícia é que a Regis­ tro.br já iniciou a im­Localização dos Root Servers no mundo. Photo by Google Maps. TakenFROM www.root­servers.org plementação nos domínios jus.br eDNSSEC b.br. Para esses, o DNSSEC é de uso obrigatório, pa­ Infelizmente o sistema DNS apresenta determina­ ra os demais ainda é opcional. Você pode testar o usodas vulnerabilidades usadas principalmente em ata­ digitando a URL www.seubanco.b.brques de phishing, desviando a navegação para umdomínio maliciososem o consentimento(e o conhecimento)do usuário. Os doisexemplos mais re­correntes de ataquessão o DNS Spoofing(também conhecidocomo DNS Cachepoisoning) e o Man­In­The­Middle. Umdos maiores proble­mas existentes é queesses ataques são ex­tremamente difíceisde serem detectadose na pratica impossí­vel de serem preve­nidos. Histórico do DNSSEC. Photo by VeriSign. O DNSSEC (Domain Name System Security Ex­tension ) é uma extensão criada pelo IETF (Internet O DNSSEC utiliza a famosa tecnologia de cripto­Engineering Task Force) que adiciona recursos de se­ grafia assimétrica que utiliza um par de chaves, umagurança ao DNS com o intuito de tornar esses ataques pública e uma privada. Cada zona retorna as consul­|22 Março 2012 • segurancadigital.info
  • 23. ARTIGO Segurança Digitaltas DNS com assinaturas digitais. A confiança do cli­ http://registro.br/suporte/faq/faq8.htmlente nessas assinaturas é baseada numa cadeia de con­fiança (chain of trust) estabelecida através da raiz até http://webinsider.uol.com.br/2007/10/13/o­que­e­dns­o topo da hierarquia. Assim, é possível que toda a ca­ e­dnssec­bem­explicadinho/deia com acesso a chave pública verifique a integrida­de dos dados transferidos. A figura a seguir http://www.networkworld.com/news/2012/011812­exemplifica melhor o funcionamento: dnssec­outlook­255033.html?page=1Como funciona o DNSSEC. Photo by F5 Networks. O DNSSEC funciona melhor quando implementa­do em toda a cadeia. Embora a infraestrutura do DNSjá esteja preparada, a adoção ao DNSSEC tem sidolenta pelas ISP’s e empresas. No momento, na área dee­commerce somente o PayPal já começou a assinarseus domínios. A Verisign estima que há somente 5.500 domínios.com assinados e 2.000 domínios .net de um total de112 milhões de domínios registrados, o que é muitopouco. Nem mesmo as agências americanas aderiramtotalmente ao DNSSEC.. É possível testar se determinado site já usa o DNS­SEC usando o DNSSEC Analyzer da Verisign Luiz Felipe Ferreira ­ (Editor Chefe)http://dnssec­debugger.verisignlabs.com/ No mercado da TI há 9 anos, trabalhandoReferências com Segurança da Informação desde 2006. Atualmente trabalha no setor de IT Security da TV Globo. Graduado emhttp://en.wikipedia.org/wiki/Domain_Name_System_S Processamento de Dados pela UniverCi­ecurity_Extensions dade e com MBA de Gestão de Projetos e Negócios de TI pela UERJ. Possui cer­http://www.isc.org/software/bind/dnssec tificações ITIL, VCP, LPI Level 1 e MCP.http://www.verisigninc.com/pt_BR/why­verisign/innovation­ Email: lfferreira@gmail.com Blog: br.linkedin.com/in/luizfelipeferreirainitiatives/dnssec/overview/index.xhtml?loc=pt_BR Twitter: @lfferreiras|23 Março 2012 • segurancadigital.info
  • 24. |01 Janeiro 2012 • segurancadigital.info
  • 25. LDAP Injection – Como Funcio-na o Ataque e Como se Proteger 1. Introdução protocolos e linguagens de programação. Só para ci­ A maioria das organizações de médio e grande por­ tar alguns exemplos mais documentados existem: te possui uma grande quantidade de informações críti­ “XPath Injection”, “LDAP Injection”, “SOAP Injec­ cas, sensíveis e até mesmo confidenciais tion” e até mesmo “SMTP Injection”. armazenadas em bancos de dados. Apesar de os servi­ Neste artigo, iremos abordar as falhas de “LDAP dores de banco de dados estarem geralmente na rede Injection” devido à criticidade que este tipo de vulne­ interna destas organizações, protegidos por firewalls rabilidade está ganhando nos sistemas corporativos. e outros mecanismos de defesa, muitas aplicações As organizações estão cada vez mais utilizando os acessíveis pela Internet possuem acesso a estes servi­ serviços LDAP para diversos propósitos, funcionan­ dores. Estas aplicações recebem entradas de dados e do como um repositório central de informações. as utilizam para realizar consultas nos servidores de Existe, especialmente, uma forte tendência do uso de BD. Quando a aplicação não valida ou trata correta­ serviço LDAP para autenticação de usuários e para mente a entrada de dados, um atacante pode conse­ suportar ambientes com “single sign­on”. Devido ao guir modificar as consultas realizadas pela aplicação crescente uso de LDAP para autenticação e para ar­ para realizar diversas atividades maliciosas, incluindo mazenar outros tipos de dados, provavelmente os ata­ burlar o controle de acesso, obter dados sensíveis e ques utilizando LDAP Injection tenderão a aumentar. até mesmo alterar dados armazenados. Este tipo de Para que os profissionais de TI e de segurança este­ fragilidade em aplicação é conhecido como “Injecti­ jam devidamente preparados para evitar este tipo de on”, e sem dúvida as falhas do tipo “SQL Injection” fragilidade e se proteger deste tipo de ataque é vital estão entre as mais divulgadas e exploradas. entender como os ataques de LDAP Injection funcio­ Vulnerabilidades de “SQL Injection” têm sido am­ nam. plamente exploradas há alguns anos por atacantes e recebido há muito tempo destaque em sites, livros e 2. Como Funciona o Ataque revistas de segurança. O que muitos profissionais de O LDAP (Lightweight Directory Access Protocol) TI e até mesmo alguns de segurança desconhecem é é um protocolo para realizar consultas e modifica­ que as falhas de “Injection”, ou de injeção de código, ções em serviços de diretório através do protocolo não se resumem a SQL, podendo existir em diversos TCP/IP. Os serviços de diretório LDAP armazenam e |25 Março 2012 • segurancadigital.info
  • 26. ARTIGO Segurança Digitalorganizam informações que possuem atributos em co­ número de telefone e departamento. Veja como pode­mum. A estrutura de armazenamento utiliza o concei­ ria ser esta requisição LDAP:to de árvore de entradas de diretório. Nesta estruturahierárquica, as operações de leitura são realizadas (givenName=MARCOS);cn,telephoneNumber,decom maior velocidade com prejuízo para as opera­ partmentções de escrita. Baseia­se em orientação a objetos, noqual cada entrada no serviço de diretório corresponde O resultado desta query poderia retornar as seguintesa uma instância de um objeto e precisa compartilhar informações:os mesmos tipos de atributos deste objeto. Ao se utilizar LDAP, a operação mais comum é aconsulta por entrada de diretório através de filtros. ARFC 4515 define os filtros utilizados no LDAP, que Imagine que o atacante deseja obter a senha dopodem incluir, especialmente, expressões lógicas usuário “MARCOS”. Ele poderia utilizar o seguinte(AND ­ &, OR ­ |, NOT ­ !) e tipos de filtros (igual =, ataque: MARCOS); userPassword,cn;. Isto resulta­aprox. ~=, maior ou igual >=, menor ou igual =<), ria na seguinte requisição LDAP:bem como o caractere * para aceitar múltiplos caracte­res em um filtro. A RFC 4526 define as strings (&) e (givenName=MARCOS);(|) como verdadeiro (TRUE) e (FALSE), respectiva­ userPassword,cn;);cn,telephoneNumber,departmentmente. Caso ainda não esteja familiarizado, veja umexemplo básico de consulta LDAP: (&(cn=admin)(userPassword=senha)) O atacante pode melhorar o ataque e obter uma listagem das senhas de todos os usuários da aplica­[a query acima, por exemplo, seria utilizada para vali­ ção: *); userPassword,mail,cn;. dar um usuário e senha] (givenName=*); O conceito básico de uma exploração de LDAP In­ userPassword,mail,cn;);cn,telephoneNumber,deparjection é manipular os parâmetros enviados pelo clien­ tmentte para a aplicação, os quais serão utilizados paraconstruir a consulta (query) LDAP. Quando a aplica­ção é vulnerável, a entrada de dado não sofre valida­ção ou tratamento para impedir que os dados entradospossam modificar a estrutura ou lógica da queryLDAP. Os estudos de caso nos próximos itens irão 4 . E s t u d o d e C a s o 2 : B u r l a n d o A u t e n t i c a­exemplificar este tipo de ataque. ção É importante destacar que as diversas implementa­ Considere uma aplicação que realiza autenticaçãoções LDAP validam e tratam a sintaxe LDAP de for­ em uma base LDAP. Esta aplicação solicita informa­ma ligeiramente diferente. Algumas implementações ção de usuário e senha para autenticação, construindotoleram até mesmo sintaxes inválidas. Isto influencia a seguinte query LDAP:diretamente nos ataques de LDAP Injection e o ata­cante precisa levar isto em consideração para ter su­ (&(uid=username)(userPassword=pwd))cesso. Isto significa que uma sintaxe LDAP quefunciona em uma aplicação pode não ser funcional Um atacante poderia inserir os seguintes dados:em outra aplicação vulnerável. Usuário: admin)(&)3. Estudo de Caso 1: Manipulando Pesqui­ Senha: qualquercoisasa de Usuário Considere uma aplicação que permite digitar o no­ A query LDAP final seria:me de um único usuário (ex. MARCOS) e retorna so­mente as seguintes informações: nome do usuário, (&(uid= admin)(&))(userPassword=qualquercoisa))|26 Março 2012 • segurancadigital.info
  • 27. ARTIGO Segurança Digital Apenas o primeiro filtro será processado e como a guinte filtro seria processado: (&(directory= finan­constante (&) significa absolutamente verdadeiro, es­ ce)(security_level=*)). Assim, o atacante conseguiriata query sempre será verdadeira. Neste caso, o atacan­ acessar todos os documentos financeiros, incluindote poderia se autenticar como o usuário “admin” na os marcados como “confidenciais”.aplicação. Existem outras formas de realizar ataques para bur­ 6. Estudo de Caso 4: Efetuando Blindlar autenticação. Veja outro exemplo: LDAP Injection Muitas vezes a aplicação não retorna mensagens Usuário: *)(uid=*))(|(uid=* de erro detalhadas mostrando a sintaxe LDAP em Senha: qualquercoisa uso. Nestes casos, o atacante precisa utilizar técnicas de inferência para determinar a existência de atribu­A query LDAP final seria: tos e valores. Considere uma aplicação que permite listar informações de ativos de TI da organização: (&(uid=*)(uid=*))(|(uid=*)(userPassword=qualque rcoisa)) http://appvulneravel.intranet.com/lista_servidores.a spx?idserver=sysxpto Esta query terá uma sintaxe correta e será sempreverdadeira, permitindo que o atacante se autentique A seguinte query seria utilizada pela aplicação:como o primeiro usuário da árvore LDAP. (&(idserver=sysxpto)(objectclass=server))5. Estudo de Caso 3: Acessando Docu­mentos Restritos Após realizar esta consulta LDAP, a aplicação re­ Imagine uma aplicação que oferece acesso a docu­ torna informações sobre o servidor como endereço IPmentos de diferentes departamentos da organização e e administrador responsável.que permite apenas consulta de documentos classifica­dos como “públicos” para usuários com permissão“public” e permite consulta de documentos classifica­dos como “confidenciais” para usuários com permis­ Imagine que um atacante estivesse interessado emsão “confidential”. Por exemplo, a seguinte URL é descobrir atributos adicionais para obter mais infor­utilizada para acessar documentos: mações sobre o servidor, que não são reveladas pela aplicação, como, por exemplo, sistema operacional ehttp://appvulneravel.intranet.com/lista_documentos. localização física. Neste caso, o atacante teria que fa­ aspx?caminho=finance zer testes de inferência para descobrir nomes de atri­ butos adicionais. Como um teste inicial, o seguinte Considere que esta aplicação utiliza a seguinte valor poderia ser colocado no parâmetro “idserver”:query LDAP para listar os documentos de acordo sysxpto)(invalido=*). A seguinte consulta LDAP se­com a permissão de acesso: ria formada: (&(directory=finance)(security_level=public)) (&(idserver=sysxpto)(invalido=*))(objectclass=ser ver)) Para acessar os documentos confidenciais, o ata­cante poderia colocar os seguintes dados na URL: A aplicação provavelmente apresentaria uma pági­finance)(security_level=*))(&(directory=finance na sem informações ou apresentaria alguma mensa­ Isto resultaria na seguinte query LDAP: gem de erro. Em seguida, o atacante poderia testar um atributo mais provável: sysxpto)(ipaddress=*), (&(directory=finance)(security_level=*))(&(direc para formar a seguinte consulta: tory=finance)(security_level=public)) (&(idserver=sysxpto)(ipaddress=*))(objectclass=s O servidor LDAP processaria apenas o primeiro erver))filtro, ignorando o segundo. Neste caso, apenas o se­|27 Março 2012 • segurancadigital.info
  • 28. ARTIGO Segurança Digital Assumindo que o nome de atributo ipaddress exis­ atributo location:te, a aplicação retornaria normalmente as informa­ções sobre o servidor sysxpto. Para descobrir (&(idserver=sysxpto)(location=*j*))(objectclass=seatributos adicionais, o atacante poderia utilizar um rver))script que automatize tentativas utilizando um dicio­nário de possíveis atributos, interpretando a resposta Estes exemplos não deixam dúvida de que atacan­como VERDADEIRA quando a aplicação retorna in­ tes não precisam necessariamente de mensagens deformações e FALSA quando a aplicação não retorna erro ou de informações detalhadas da aplicação parainformações. extrair informações através de LDAP Injection.(&(idserver=sysxpto)(location=*))(objectclass=serv 7. Como Evitarer)) Para evitar falhas de LDAP Injection, deve­se tra­(&(idserver=sysxpto)(system=*))(objectclass=serve tar todas as entradas de dados da aplicação, especial­r)) mente, as entradas de dados que serão utilizadas em(&(idserver= sysxpto)(os=*))(objectclass=server)) consultas LDAP. É importante destacar que a melhor... abordagem de validação de entrada de dados é a abordagem “white­list”, onde apenas os tipos de da­ E o que dizer de valores de atributos? Um atacante dos estritamente necessários são aceitos. Isto podepode extrair valores através de buscas por conjuntos ser feito através de expressões regulares de negaçãode caracteres (pode até mesmo utilizar a tabela AS­ por padrão. Por exemplo, pode­se aceitar apenas va­CII). Imagine que o atacante deseja extrair o valor do lores numéricos ou alfanuméricos em uma entrada deatributo location do servidor sysxpto. Um script pode­ dado.ria começar testando a primeira letra do atributo fa­ Deve­se, sempre, validar e tratar a entrada de da­zendo uma busca alfabética: dos no lado servidor (exs. código .NET, Java ou PHP), não apenas no lado cliente (ex. através de Ja­(&(idserver=sysxpto)(location=a*))(objectclass=se vaScript). Em especial, parênteses )(, asterisco *,rver)) operadores lógicos (&, |, !) e operadores relacionais(&(idserver=sysxpto)(location=b*))(objectclass=se (=, ~=, >=, =<) devem ser rejeitados ou tratados pelarver)) aplicação. Em alguns casos, pode ser necessário in­(&(idserver=sysxpto)(location=c*))(objectclass=se cluir estes caracteres em consultas LDAP. Se este forrver)) o caso, utilize a técnica de “escaping” para evitar que… o interpretador LDAP considere estes caracteres co­ mo parte da query LDAP. O OWASP (Open Web Ap­ O mesmo teste anterior se aplica aqui. Quando a plication Security Project) mostra como realizaraplicação retorna uma resposta com informações, o “escaping” destes caracteres em Java:script determina que o caractere testado está correto,e quando a aplicação não retorna informação, o script https://www.owasp.org/index.php/Preventing_LDAdetermina que precisa continuar a busca. Veja agora o P_Injection_in_Javaexemplo abaixo: Como medida de proteção adicional, é importante(&(idserver=sysxpto)(location=ri*))(objectclass=s realizar configurações de controle de acesso no servi­erver)) dor LDAP. A aplicação web deve ter o mínimo de privilégio requerido ao se conectar no servidor Se o script receber uma resposta com informações, LDAP e permissão de escrita deve ser concedida ape­a localização certamente começa com “ri” e a busca nas quando estritamente necessário.pode continuar a partir da 3ª posição. É possível utili­zar uma técnica conhecida como “charset reduction”para aumentar a velocidade de obtenção de valores.Por exemplo, o seguinte teste pode ser utilizado paraverificar se a letra “j” existe em alguma posição no|28 Março 2012 • segurancadigital.info
  • 29. ARTIGO Segurança Digital 8. Referências LDAP Injection & Blind LDAP Injection in Web Applications ­ Chema Alonso, Rodolfo Bordón, Antonio Guzmán y Marta Beltrán LDAP Injection – Are your web applications vulnerable? – SPI Dynamics The Web Application Hacker’s Handbook – Discovering and Exploiting Security Flaws – Dafydd Stuttard and Marcus Pinto OWASP (The Open Web Application Security Project) ­ Testing for LDAP Injection RFC 4515 ­ Lightweight Directory Access Protocol (LDAP): String Representation of Search Filters RFC 4526 ­ Lightweight Directory Access Protocol (LDAP) Absolute True and False Filters Bruno Cesar Moreira de Souza Sócio e Diretor Técnico da Able Se­ curity, CISSP desde Jan/2007, OSCP, GCFE, Bacharel em Siste­ mas de Informação pela PUC­Rio, com mais de 11 anos de experiência em segurança da informação, espe­ cialista em testes de intrusão e perí­ cia forense computacional. Tem prestado consultoria para organizações de diversos segmentos, no Brasil e no Reino Unido. E­mail: bruno.souza@ablesecurity.com.br Site: http://www.ablesecurity.com.br|29 Março 2012 • segurancadigital.info
  • 30. ém er n gu nd ni co s s le a e de a rto nadPericia Digital: Conheça a arte da Quando o assunto é Pe m buscar evidências eles te são uns verdadeirosinvestigação "digital" experts no assunto Em edições passadas da Revista Segu­ rança Digital, tivemos casos reais de forense, e até mesmo um artigo referente ao curso de forense digital oferecido pela 4Linux. Recomendo a leitura das edições passadas... S e você é ligado em seriados policiais, filmes envol­ combate aos crimes cibernéticos requer a existência vendo investigações ou coisa parecida, até mesmo de evidências e provas de sua existência, que permi­ o CSI já deve ter visto profissionais fazendo análi­ tem o pleno convencimento do suposto ato e com is­ ses e outros procedimentos minuciosos em busca de infor­ so possibilitando punição das condutas criminosas. A mações e extraindo dados importantes que nem se partir disso surgi a figura do profissional em pericia imaginava que pudesse encontrar, essa extraordinária ciên­ digital sendo responsável por descobrir evidências cia é chamada de pericia. Apesar de muita coisa não pas­ em sistemas computacionais, em periféricos e dispo­ sar de ficção, há alguns casos espelhados na vida real. sitivos de armazenamento. Mas sim vamos sair um pouco da ficção e entrar na realidade dos fatos, bem até então dei a ideia do “O perito digital será a função indispen­ que é termo pericia, como você deve saber existem sável a justiça, tal como o advogado, vários tipos de pericias e nesse caso a ser abordado pois através dele inocentes não serão aqui é a pericia digital ou como é conhecida também condenados e culpados não serão absolvidos.” de forense computacional onde esta se faz cada vez mais conhecida e de suma importância devido o au­ Pois bem para realizar essa missão eles fazem uso mento de crimes praticados por meio do uso dos re­ de diversos equipamentos especiais. cursos computacionais pela própria disponibilidade Conheça agora um pouco do muito que esses pro­ de uma conexão à Internet e o uso de programas de fissionais são capazes de fazer. Bem­vindos à polícia computador, além do suposto anonimato encontrado, da era digital. em muitos casos, é suficiente para permitir a qual­ Você acha que ao apagar qualquer informação co­ quer indivíduo experimentar variadas condutas crimi­ mo fotos, conversas do chat, páginas acessadas na in­ nosas que você certamente já está cansado de ternet ou formatar o HD estão definitivamente observar pela mídia. Dentre os casos mais comuns es­ excluídos e as mensagens confidenciais do celular e tão roubo de informações confidenciais, ataque de ne­ também esconder ou proteger com senha as informa­ gação de serviços, espionagem, transmissão de fotos ções, você pensa que ninguém vai conseguir ter aces­ e vídeos de pedofilia entre outros. so. É pensando assim para pessoas comuns isso tudo Portanto assim como no caso de crimes comuns, o pode fazer parte da realidade delas. Mas para um pe­ |30 Março 2012 • segurancadigital.info
  • 31. ARTIGO Segurança Digitalrito digital as coisas são completamente diferentes, te, que tem mais de cem cabos integrados e organiza­perto deles ninguém tem nada a esconder. dos em uma maleta, compatíveis com diversos Veja algumas das suas tarefas a seguir. equipamentos móveis como mostrado logo abaixo. Nota: Primeiramente cabe lembrar que peritos digi­tais só podem extrair dados com a autorização préviado dono ou com mandado judicial, pois caso contrá­rio é crime. Recuperação e extração de dadosHD Foi se o tempo que formatando o HD não fossepossível recuperar nada. Na verdade um arquivo só éapagado quando uma nova informação é escrita em ci­ma do espaço que ele ocupava antes no disco. Mas, Outra solução é o software Mobiledit Forensicmesmo assim, para que não seja possível recuperar as que pode realizar extrações dos dados do celular.tais preciosas informações, os peritos dizem que serianecessário regravar ou formatar um disco por 25 ve­ Dados ocultoszes, utilizando técnicas variadas. Já faz parte dos artifícios dos cibercriminosos ca­ Em computadores, existe uma série de ferramentas da vez mais experientes não deixar informações aces­que ajuda na perícia digital. Umas já cumprem o pa­ síveis, em muitos casos é comum o perito encontrarpel de vários recursos durante todas as fazes dos exa­ dados criptografados ou ainda um pouco mais avan­mes forenses, possibilitando fazer um raio­x çados utilizarem a técnica de esteganografia que jácompleto da máquina como recuperação de arquivos, dei uma base sobre esse assunto na 3ª edição da re­e­mails, visualização de vários formatos diferentes de vista.arquivos, programas que já foram instalados entre ou­ O processo de acesso a informações nesses tipostras funcionalidades. Entre as ferramentas podemos ci­ de estados é possível através da análise do hexadeci­tar o Encase, FTK e o Helix. mal do arquivo e identificar caracteres que não cor­ respondem a uma imagem e com base nisso descobrirMemória RAM onde foi lançada a senha da esteganografia e então A memória RAM, sabemos que ela é volátil, isto zera­la em hexadecimal e, portanto descobrindo oé, todo o seu conteúdo é perdido ao desligar o compu­ conteúdo oculto sem precisar descobrir qual é a se­tador, o que muitos não sabem é que todo tipo de in­ nha de fato. E falando sobre senhas hoje existemformação passa por ela desde senhas digitadas, uma muitos programas para quebra de senha, vale lembrarconversa no chat e assim por diante, mas mesmo após quanto mais fácil for a senha mais rápida será que­o desligamento ou reiniciar a máquina ainda sim é brada.possível ter acesso a essas informações que podem fa­zer toda diferença sobre o delito questionado. Mudando de assunto Entre as técnicas utilizadas para conseguir ter aces­ Você sabia? Que todo dispositivoso às informações está no que eles chamam de Dump USB como o pen drive possui(Cópia integral) da memória, umas das ferramentas uma identificação única e esta in­que cumprem esse papel pode­se citar o Computer formação fica registrada nos com­Online Forensic Evidence Extractor (COFEE). putadores quando é plugado. Por exemplo, se o pen drive foi conectado a um computador Win­Celular dows e depois em um Linux, em uma análise será Em uma pericia quando o assunto é celular exis­ encontrado a mesma identificação do pen drivetem diversas ferramentas que possibilitam ter acesso nos dois equipamentos. Um exemplo de ferramen­a todas as informações do celular desde mensagens, ta que permite ver essa identificação é o softwarefotos, músicas, agendas e até mesmo aquilo que já foi USB Deview.apagado pelo usuário. Umas das soluções é o Cellebri­|31 Março 2012 • segurancadigital.info
  • 32. ARTIGO Segurança Digital Já em contagem regressiva este artigo está chegan­do ao fim, aqui apenas passei um pouco do que é a pe­ Resumoricia digital. Pela qual é uma área que está sendo bemmais procurada devido as infinitas irregularidades pra­ Em resumo a pericia digital ou forense compu­ticadas por meio dos recursos computacionais e a pro­ tacional tem como principal objetivo identificação,cura por profissionais capazes de encontrarem as preservação, coleta, interpretação e documentaçãopistas e provas necessárias para condenar os responsá­ de evidências digitais.veis por estes crimes é urgente. Gostou da área? Logo abaixo estão algumas instru­ Evidência digital, pode ser compreendida pelações para ser um profissional. É claro que existem informação armazenada e/ou transmitida em for­muitas outras em nível de especialização e treinamen­ matos ou meios digitais. Na sua grande maioria oto, agora nível de mestrado não, pelo menos aqui no “conteúdo” de uma evidência, é frágil e volátil, oBrasil. que requer à atenção de um especialista certificado ou capacitado a fim de garantir que os materiais deNível Pós Graduação Lato Sensu: valor probatório possam ser efetivamente isolados ­Pericia Digital na UCB (Universidade Católica de e extraídos de forma correta e licitamente.Brasília) ­Computação Forense na Mackenzie. Uma pericia mal executada pode comprometer todo o processo, desde, a coleta dos dados atéMestrado: apresentação e documentação destes. Para Engenharia Elétrica, área de concentração: Infor­ exemplificar, vamos pegar o exemplo de ummática Forense e Segurança da Informação na UNB Dump de memória. Um perito tem como objetivo(Universidade de Brasília). coletar informações de uma possível cena de crime digital, este por sua vez executa diversos softwaresTreinamento: na máquina antes mesmo de realizar o Dump de Legaltech­Consultoria,Pericia Digital e Treinamen­ memória. Qual o problema disso? Este “perito”to. provavelmente esta “sobrescrevendo” partes da memória RAM (volátil) que poderiam conterLivro recomendado: informações essenciais a investigação. Em uma Desvendando a Computação Forense de Pedro cena como esta o Dump de memória é a primeiraEleutério e Marcio Machado, Peritos Criminais Fede­ atividade a ser executada.rais da Policia Federal. É uma ótima obra e de lingua­gem clara sobre o assunto. Crescimento ­ A pericia forense é uma área que temReferências crescido muito nos últimos anos. E com o surgimento ELEUTÉRIO, Pedro. M.S; MACHADO, Márcio. cada vez mais acelerado de novas tecnologias, esteP. Desvendando a computação forense. São Paulo: crescimento será sempre ascendente.Novatec, 2010. Nágila Magalhães Vídeo ­ A arte da pericia digital Graduada em Tecnologia em Redes de Computadores pela FCAT. Apaixonada por tecnologia e ciberespaço, com conhecimen­ to nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colaboradora das Revistas Segurança Digital e Espírito Livre. E­mail: nagilamagalhaes@gmail.com Twitter: @netnagila|32 Março 2012 • segurancadigital.info
  • 33. TENHA SUA PRÓPRIA NUVEMOpenStack solução paraconstrução de nuvens Nunca foi tão fácil construir uma nu­ vem. A comunidade OpenStack é um grupo global de desenvolvedores que trabalha de forma colaborativa em prol de um SO baseado em código aberto para nuvem. R esumindo em poucas palavras, o OpenStack é um software para construção de nuvens públicas e pri­ vadas, de fácil implementação, massivamente es­ calável e rico em recursos. Este, por sua vez, é uma iniciativa do Hackspace e NASA, criada em julho de outros sistemas não possuem para este nível de pro­ cessamento. Recursos da ferramenta 2010. Controla e automatiza conjunto de recursos; As qualidades e características do OpenStack são Aloca recursos com eficiência; tantas que não dá para transcreve­las aqui neste arti­ Capacita admins & usuários via portal de auto­ go, sendo assim vou frizar alguns pontos importantes gestão; ao decorrer deste conteúdo, havendo interesse basta Capacita desenvolvedores para escrever aplica­ realizar pesquisas na web sobre a ferramenta aqui ções conscientes da nuvem via APIs. abordada. Características da ferramenta O objetivo deste artigo não é pontuar todas as ca­ racterísticas e recursos do OpenStack, mas sim dar Desenvolvimento aberto sobre uma licença uma visão geral do que este sistema é capaz. Sendo Apache 2; assim a lista anterior não pode ser considerada com­ Código fonte disponível publicamente; pleta. Comunidade aberta, processos e documentação transparentes; Crescimento do OpenStack Desenho modular para distribuição flexível via Imagem ilustrativa API; Padrão emergente suportado por grandes ecos­ sistemas; Projetado para escalar de forma econômica; Pode ser processado em 100 ou até mesmo mil ser­ vidores, ou seja, possui uma escalonabilidade que |33 Março 2012 • segurancadigital.info
  • 34. ARTIGO Segurança Digital Mesmo sendo um projeto relativamente “novo”, es­ Na edição passada da Revista Segurança Digitalte conta atualmente com o apoio e contribuição de foi publicado um conteúdo intitulodo "Segurança damais de 150 empresas e dois mil e trezentos partici­ Informação: Previsões para 2012" onde a questãopantes. Vale ressaltar ainda que este número continua da cloud é rapidamente revista e pontos importantescrescendo. O OpenStack é uma opção viável, eficien­ são mencionados. Recomendo fortemente a leiturate e de qualidade para a nuvem. Sem dúvida, outro fa­ deste conteúdo.tor que contribui em muito para o rápido crescimentodeste sistema, é o fato de ele ser uma solução de códi­go aberto, isso garante uma flexibilidade incrível paraum sistema que já é considerado a melhor opção deSO para criação e gerenciamento de nuvens.Nota Durante a conferência OpenStack, que aconteceuem Boston, a CEO da Canonical, Jane Silber, anunci­ Figura 1 ­ Logo do OpenStack.ou que a Hewlett­Packard escolheu o Ubuntu comodistribuição Linux para ser o seu sistema base de nu­vem pública. Silber disse ainda que o Ubuntu é umaboa escolha para as nuvens OpenStack, devido à sua Cloud Computingextensa flexibilidade e escalabilidade, além de ser umsistema host seguro. O conceito de cloud computing (em português, computação em nuvem) refere­se à capacidade deRecursos incorporados à plataforma se utilizar recursos de processamento e armazena­ OpenStack Compute ­ os novos recursos incluem mento que se encontram externos a sua máquina.um scheduler distribuído, permitindo que máquinas Os computadores/servidores que oferecem este re­virtuais sejam implantadas, um modo de rede de alta curso chamado cloud, geralmente estão interliga­disponibilidade para evitar tempo de inatividade, se dos por meio da rede mundial de computadoresum servidor primário falhar, suporte para um novo sis­ (internet), esta interconectividade entre astema de autenticação, além de um sistema OpenStack máquinas que formal a cloud é chamada de com­Identity Management (gerenciamento de identidade putação em grade e as vezes alguns a chamam deOpenStack). computação distribuída. OpenStack Object Storage ­ um novo multi­clus­ Em resumo os benefícios oferecidos pela cloudter container sync permite que um usuário escolha são, disponibilidade de recursos conforme necessi­contêiner por contêiner com base nos dados para repli­ dade (escalabilidade), acessibilidade e disponibili­cação de clusters situado em múltiplas localizações dade.geográficas. OpenStack Image Service ­ Atualizações para oserviço de imagem incluem um processo de filtrageme busca novas capacidades através da API, uma carac­ Fábio Jânio Lima Ferreira ­ (Diretor e Diagramador)terística muito requisitada pelos prestadores de servi­ços que apoiam um grande número de clientes Analista de suporte técnico, administra­ dor de redes, programador, ativista e de­globais. fensor do software livre. Sem sombra de dúvida o campo da segurança computaci­Sugestão ­ Leitura sobre cloud... onal me seduz como nem uma outra Mesmo a cloud computing área. Apaixonado por tecnologia e fasci­ se apresentando como uma nado pela cultura hacker. solução benéfica ao futuro das empresas e negócios co­ Email: fabiojanio@segurancadigital.info Blog: www.fabiojanio.com mo um todo, é preciso tomar Twitter: @_SDinfo cuidado quanto ao seu uso.|34 Março 2012 • segurancadigital.info
  • 35. Otimização de LinksWAN Q uando pensamos em links WAN (links de dados de longa distância), normalmente associa­se com a re­ lação entre custo e velocidade. Quanto mais rápido cial os vídeos, como YouTube, por exemplo. Para mi­ nimizar esta utilização em demasia, é comum que empresas bloqueiem estes sites através de servidores Proxy ou filtros de conteúdo, mas é muito comum for o link, maior o custo. Como usufruir da melhor manei­ ra o investimento nessa tecnologia indispensável para em­ que estes sites tenham que ser utilizados para fins de presas que possuem escritórios distribuídos trabalho também, além, é claro, de proporcionar mo­ geograficamente, e ainda assim manter a segurança deste mentos de relaxamento durante as horas de expedien­ link? te, o que pode também ser produtivo para o Para entendermos melhor os conceitos que serão funcionário. Bloquear ou não estes sites que conso­ descritos, imaginemos o seguinte cenário: uma empre­ mem muita banda não é ponto em questão aqui, mas sa de advocacia possui escritórios em três grandes ca­ sim administra­los. pitais, como São Paulo, Rio de Janeiro e Brasília. O gráfico abaixo demonstra um exemplo de utili­ Esta empresa possui um sistema online de controle de zação de um link WAN de 2Mbps de uma filial para processos, no qual o servidor fica na matriz em São a matriz, no qual é compartilhado o acesso à Internet, Paulo, assim como as pastas de documentos diversos assim como às aplicações desenvolvidas para o fun­ compartilhadas entre todas as filiais. Diariamente os cionamento da empresa. Nota­se que em momentos funcionários acessam o sistema para consulta e entra­ de acesso à YouTube, por exemplo, o consumo de da de dados e compartilham arquivos. Para minimizar banda é bastante alto e é sacrificada a banda que se­ os custos e por segurança, o acesso à Internet das fili­ ria necessária para as aplicações. ais também é feito exclusivamente através da matriz. Neste suposto cenário fica claro que a utilização dos links entre todos os escritório é largamente utiliza­ do e vital para o bom funcionamento da empresa, po­ rém, nesta utilização dos links está incluído o acesso à Internet de forma geral: sites de notícias, governa­ mentais, blogs, vídeos e até redes sociais. Estes sites ocupam parte significativa da banda do link, em espe­ |35 Março 2012 • segurancadigital.info
  • 36. ARTIGO Segurança Digital Torna­se necessário, portanto, para garantir a boa momento, quando as aplicações empresariais não re­performance das aplicações mais essenciais, primeira­ querem muita banda, outras aplicações que eram li­mente, visualizar e entender quais tipos de dados es­ mitadas, agora podem utilizar mais espaço no link,tão sendo transmitidos no link. Para tal existem não desperdiçando a banda contratada.ferramentas no mercado que fazem este tipo de análi­se e geram gráficos semelhantes ao descrito. Uma vezanalisada a utilização do link, o próximo passo é blo­quear a transmissão de dados que não são relevantes,como por exemplo, pacotes de dados de jogos online,sites ilícitos ou que ferem a política de utilização dosrecursos da empresa, etc. Este tipo de procedimentofornece à equipe de segurança um maior controle so­bre o que se passa dentro da rede das filiais e atravésdo link WAN e deveria ser aplicado sempre que possí­vel. Por fim, uma vez analisado os tipos de tráfego que Uma vez limpo o tráfego no link para que transi­ são transmistidos pelo link e controlar sua utilizaçãotem somente os dados realmente necessário, deve ser de banda para otmizar a performance das aplicaçõesfeito o controle da quantidade de banda designada pa­ mais essenciais, pode­se também fazer uso de tecno­ra cada tipo de aplicação. Por exemplo: pode ser deci­ logia de deduplicação de dados, ou seja, evitar que odido que, neste link de 2Mbps, acesso à sites como mesmo dado seja transmitido mais de uma vez atra­YouTube ou conteúdo de vídeo, poderá ser utilizado vés do link, como por exemplo arquivos, imagens,somente 512Kbps da banda total. Isso garantirá a boa vídeos ou até mesmo anexo de emails, quando este évelocidade e tempo de resposta das aplicações mais enviado à diversos funcionários da mesma filial.importantes e ao mesmo tempo permitir que os usuári­ Quando se trata de utilizar links WAN para comu­os tenham acesso ao conteúdo da Internet. nicação, devemos ter em mente sempre a visualiza­ Porém, como o objetivo é otimizar a utilização do ção dos tipos de dados que são transmitidos,link e usufruir da melhor forma possível o investimen­ administrar o consumo de banda por tipo de aplica­to feito, esta solução não é suficiente. Imagine a situa­ ções, definindo o que é mais prioritário e por fim oti­ção que, em um determinado momento a empresa mizar o consumo deste link. Com a aplicação destesestá utilizando pouco o link, somente 1Mbps dos conceitos, as empresas poderão usufruir da melhor2Mbps contratados. Ainda assim, o acesso à sites de forma possível todo o benefício do investimento nes­vídeo continuam limitados aos 512Kbps configurados ta tecnologia de transmissão.pelo sistema de controle. O restante da banda não es­tá sendo utilizado e assim, desperdiçado. A solução é aplicar políticas que controle o acessoà aplicações incluindo o fator "prioridade". Seguindonosso exemplo anterior e aplicando essa nova políti­ca, o acesso à sites de vídeos terá permissão de utili­zar 512Kbps como antes, porém ela poderá utilizaraté 100% do link caso não concorra com outras aplica­ções mais prioritárias, como as aplicações empresari­ais ou compartilhamento de arquivos. Uma vez queuma aplicação mais prioritária deseje utilizar o link,ela terá um espaço na banda determinado para o bomfuncionamento e quem irá ceder espaço, desta vezsão as aplicações menos prioritárias, como o YouTu­ Fernando Shayanibe, no nosso exemplo. O gráfico abaixo mostra o fluxo de dados transmi­ Empresa: criTTeria Serviços de TItido pelo menos link, porém agora com controle de Site: www.critteria.com.brbanda por aplicações. Nota­se que em determinado E­mail: fernando@critteria.com.br|36 Março 2012 • segurancadigital.info
  • 37. Identificando as oportunida­ des e mitigando os riscos da adoção da compu­ tação na nuvemSegurança em CloudComputing Introdução O objetivo deste artigo é de mostrar as vantagens Muitas empresas no Brasil já começam a entender da computação na nuvem do ponto de vista do negó­ a importância deste novo paradigma de computação cio, levantar os principais riscos que devem ser miti­ nas nuvens (cloud computing). Porém em um recente gados durante o planejamento da migração e por fim estudo realizado pelo Business Software Alliance enumerar pontos importantes da migração. É impor­ (BSA), chamado de BSA Global Cloud Computing tante salientar que o artigo não tem como objetivo Scorecard1, divulgado no último dia 22 de Fevereiro tratar as questões legais da adoção da computação na de 2012, foi externado à posição do Brasil no ranking nuvem em território Brasileiro. dos países que estudam a adoção de computação na nuvem. O estudo baseia­se na atual agenda de iniciati­ As Vantagens são Muitas vas para desenvolver e adotar o conceito de computa­ Antes mesmo de saber o motivo que leva a com­ ção na nuvem. Resultado: o Brasil ficou em último putação na nuvem ser tão atrativa para os negócios, é lugar. importante entender o que de fato é a computação na Este estudo leva em consideração uma série de pa­ nuvem. Para isso eu vou recomendar a leitura do Ca­ râmetros de avaliação, porém, para o contexto deste pítulo 17 do Livro de Security+ (de minha autoria em artigo é importante salientar os seguintes: Segurança, parceria com Daniel Mauser)3. Neste capítulo você Crime Cibernético e Privacidade dos Dados. Para vai ter a definição de computação na nuvem uma sé­ mensurar o quão preparado o país estava para lidar rie de consideraçòes sobre sua adoção. com tais temas, uma série de questionamentos foram Partindo do pressuposto que estamos agora falan­ realizados2. No tópico de Privacidade dos dados o do o mesmo idioma no que tange o conceito de com­ Brasil falhou em quatro de dez perguntas. No tópico putação na nuvem, torna­se mais claro o impacto que de Segurança o Brasil falhou em três de cinco pergun­ tal tecnologia terá em diferentes áreas do mercado. A tas. No tópico de Cribe Cibernético o Brasil falhou lista de vantagens podem e são bem mais extensas em duas de quatro perguntas. que a que apresentarei abaixo, porém quero enfatizar 1 Relatório completo em http://portal.bsa.org/cloudscorecard2012/assets/PDFs/BSA_GlobalCloudScorecard.pdf 2 Ver página 12 do relatório citado na nota 1. 3 Você pode baixar o capítulo 17 no site do livro, em www.securityplusbr.org |37 Março 2012 • segurancadigital.info
  • 38. ARTIGO Segurança Digitalos três principais fatores de motivação para migração vem publica, a operacionalização dos servidores quepara nuvem: fornecem os serviços são realizadas pelo provedor da nuvem. Porém, tais profissionais precisaram se rea­ Demandas Econômicas: com a premissa de que dequar a esta realidade e começar a usar desta mu­ você só vai pagar pelo que você usa há uma ten­ dança uma oportunidade de agregar valor ao negócio. dência natural de redução de custo. Junto com a re­ O profissional de TI/Segurança que antes era 90% dunção de custo vem a capitalização em cima do reativo e 10% proativo, precisará agora inverter os uso do serviço sobre demanda. O modelo de licen­ papeis. Os profissionais de Segurança vão ter mais siamento fica simplificado e com um custo benefí­ tempo para trabalhar mais nas políticas de segurança, cio mais atraente. treinamentos de segurança (security awareness trai­ Redução de Gerenciamento: a partir do mo­ ning), acessar os fatores de vulnerabilidade da em­ mento que se passa a consumir o software como presa, fazer testes de penetração, fazer levantamento um serviço, a redução do gerenciamento da plata­ de risco, liderar o programa de segurança na compu­ forma (principalmente do lado do servidor) é redu­ tação na nuvem dentro da empresa. Veremos mais na zida. A abstração do que está por trás do serviço frente que migração para nuvem não é uma transfe­ que esta sendo consumido leva a uma redução ge­ rência de risco de segurança para o fornecedor dos ral de gerenciamento. As implementações tendem serviços da nuvem. Já os profissionais de TI vão ter a ficarem mais ágeis, tendo em vista que os upgra­ mais tempo para planejar o uso de TI como uma for­ des da plataforma BackEnd ficam por conta do ma de alavancar negócios para a empresa, alinhar TI fornecedor de serviços da nuvem. com os objetivos da empresa, fazer com que o depar­ Aumento da Produtividade: os usuários vão tamento de TI não seja visto apenas como um local ter mais exposição a trabalhar com as versões mais que “conserta o computador”, mas sim o departamen­ novas do software devido a agilidade de migração to que faz o negócio acontecer, traz valor ao negócio existente na plataforma. Se antes as empresas pre­ através da adoção de novas tecnologias e automação cisavam disponibilizar sua própria plataforma de de processos. Torna­se essencial neste novo modelo acesso remoto para que o usuários pudessem cola­ que os profissionais de TI tenham conhecimento mí­ borar de forma remota, agora o usuário só precisa nimo de gerencialmento de projetos (recomendo no ter acesso a web para acessar os softwares corpora­ mínimo a certificação Project+ da CompTIA, o ideal tivos. é obter a certificação PMP) e serviços/operacionali­ Do ponto de vista do negócio os atrativos da com­ zação de TI (recomendo a certificação ITIL V3 Foun­putação na nuvem são inumeros, porém também exis­ dations).te o “medo”, principalmente pelo lado do profissionalde TI que esta migração signifique o fim do emprego E os Riscos?dele na empresa. Assim como toda e qualquer mudan­ Conforme mencionei anteriormente, mudança éça, a migração para nuvem traz oportunidades e ris­ composta de riscos e oportunidades. Ao passo que ci­cos para os profissionais que diretamene seram tei algumas oportunidades que giram em torno da mi­afetados por isso. O tradicional profissional de TI/Se­ gração para nuvem, os riscos também são grandes.gurança que está acostumado a trabalhar de uma for­ Porém a boa notícia é que os riscos podem ser miti­ma mais reativa (apagando incêndio) vai realmente gados. A tabela abaixo enumera o risco e as possíveissentir que sua existência na empresa pode estar em perguntas que devem ser questionadas ao provedorrisco. Isso devido ao fato de que na migração para nu­ de serviço de nuvem: Risco Perguntas FrequentesConfiar no modelo de segurança ­ Quais as garantias que tenho para confiar no seu modelo de segurança?do provedor de soluções ­ Seu datacenter tem alguma certificação relevante do âmbito de segurança?Lidar com auditoria de dados ­ Posso ter acesso aos dados para fazer auditoria no sistema que eu uso? ­ O que é preciso para auditar o manuseamento dos meus dados?|38 Março 2012 • segurancadigital.info
  • 39. ARTIGO Segurança DigitalObter suporte para fins de ­ Caso eu precise fazer uma investigação forense, como obtenho dados dosinvestigação de incidentes servidores que eu utilizo?Desenvolvimento não seguro de ­ As aplicações que minha empresa vai consumir no seu serviço de nuvemaplicações foram desenvolvidas com algum modelo de segurança para nuvem? ­ Quais as garantias que tenho que o seu pessoal (operacional) não vai sabotarAmeaças internas meus dados? ­ É feito algum tipo de “background check” nos profissionais que sua empresa contrata para operar os serviços da nuvem? ­ É possível que o meu concorrente tenha dados armazenados no mesmoTecnologia compartilhada servidor que eu uso, tendo em vista que estamos em uma plataforma virtualizada. Como é feito o isolamento dos dados em descanso (data resting) e em trânsito? ­ Que tipo de penalização/multa esta prevista caso exista vazamento dos meusVazamento de informações dados pessoais localizados no datacenter da sua empresa?Localização Geográfica* ­ Onde fica o datacenter que vai armazenar meus dados?* Este questionamento é importante para fins de regulamentação. Em alguns países e para alguns tipos detransações, é mandatório que o dado fique localizado dentro das premisas físicas do país. Tais questionamentos fazem parte apenas do reco­ metida, ela poderá tornar­se a porta de entrada para onhecimento das políticas de segurança do provedor acesso malicioso a dados que estejam localizados nade serviços da nuvem. O trabalho não acaba por aí, nuvem. Como o acesso das premissas do cliente parana reallidade está apenas começando. O documento o provedor de nuvem é válido e autenticado, torna­se800­1444 do Instituto Nacional de Padrões e Tecnolo­ difícil mitigar um acesso que aparentemente é válido.gias (NIST – National Institute of Standards and Tech­ Por este motivo, os recursos localizados no ítem 1nology) dos Estados Unidos define uma série de são de responsabilidade do cliente. A segurança des­diretrizes para segurança e privacidade em uma nú­ tes ativos é de responsabilidade do contratante.vem pública. Quando o dado está em trânsito é necessário que o mesmo esteja criptografado. Com os recentes ataquesPreparando­se para Migração tendo Segu­ a certificados SSL, tornou­se ainda mais necessáriorança como Premissa ter um dispositivo de perímetro (Firewall) que seja Um dos aspectos que geralmente não é endereçado capaz de não apenas analisar o tráfego, mas que tam­com a devida atenção é a segurança de perímetro. bém possa fazer validação SSL. Através da inspeçãoMuitos gestores têm a idéia errada que a contratação SSL realizada pelo firewall você estará adicionandode um serviço de núvem significa a transferência de uma camada a mais de proteção. O conceito de segu­responsabilidade da segurança dos dados para o pro­ rança em profundidade aplicado na prática torna­sevedor de serviços, porém isso não é verdade. Os da­ mais importante que nunca.dos podem estar em locais diferentes durante a Ao chegar à rede do provedor de serviços datransação e dependendo de onde ele esteja à responsa­ nuvem, a responsabildiade passa a ser do provedor.bilidade é de partes diferentes. Vejamos no diagrama Os questionamentos que relacionados a proteção des­da Figura 1. tes dados (como os exemplos que mencionei anteri­ Neste diagrama podemos notar que os recursos lo­ ormente) precisam ser endereçados.calizados na rede interna são críticos também. Atémesmo porque se uma estação de trabalho for compro­4 Documento completo em http://csrc.nist.gov/publications/nistpubs/800­144/SP800­144.pdf|39 Março 2012 • segurancadigital.info
  • 40. ARTIGO Segurança DigitalFigura 1 ­ Trajeto do dado.Conclusão Neste artigo você aprendeu um pouco sobre asquestões relacionadas a segurança na nuvem publica Yuri Diogenese alguns fatores que devem ser considerados duranteesta migração. As referências abaixo podem ser (CISSP, EC|CEH, E|CSA, CompTIAutilizadas para um aprofundamento maior no tema. Cloud Essentials Certified, CompTIA Security+, Network+, MicrosoftReferências MCITP, MCTS, MCSA/MCSE+Secu­ rity, MCSE+Internet, MCSA/MC­ Protecting your Weakest Point: On­Premise SE+Messaging, membro da ISSAResources (ISSA Journal/Maio 2011) North Texas e da American Society of www.yuridiogenes.com.br/issa/WeakestPoint_ISSA Digital Forensics & eDiscovery). Mes­0511.pdf trando em Cybersecurity Intelligence and Forensics Investigation pela UTI­ TechED 2011­ Segurança de Perímetro durante CA College nos Estados Unidos, é au­ tor de vários livros na área deMigração para Nuvem (SIA302) segurança da informação e ex membro http://yuridiogenes.wordpress.com/2011/10/04/tech do grupo de engenharia de suporte aed­2011­segurana­de­permetro­durante­migrao­para­ produtos da linha Microsoft Forefrontnuvem­sia302/ Edge Security. Atualmente Yuri traba­ lha no grupo Windows IT PRO Secu­ Capítulo 17 do Livro de Security+ (Editora rity da Microsoft. Yuri também escreveNovaTerra) no seu blog em inglês. http://www.securityplusbr.org Em ingles: http://blogs.technet.com/yuridiogenes Em Português http://yuridiogenes.wordpress.com Guidelines on Security and Privacy in Public Twitter @yuridiogenesCloud Computing http://csrc.nist.gov/publications/nistpubs/800­144/SP800­144.pdf|40 Março 2012 • segurancadigital.info
  • 41. Este tutorial mostra como proteger o servidor SSH e não a conexão...SSH - Proteção ComDenyHosts M ais cedo ou mais tarde iremos necessitar de Servidores que necessitam de acesso remoto por acesso remoto a algum servidor, seja para reali­ meio de senha, como o SSH, acabam ficando vulne­ zar alguma configuração, manutenção, procedi­ ráveis por estarem expostos à Internet. Estes, por sua mentos de rotinas ou qualquer outra tarefa. Alguns vez, podem sofrer ataques de força bruta (dicioná­ administradores de rede, sistemas, entre outros, ficam de rio), que visam “encontrar” a combinação de senha cabelos em pé ao ouvir algo como “preciso de acesso re­ que permita ao meliante se logar com algum usuário moto”. valido no sistema alvo. Conheço casos de hospedagem web onde o forne­ Diferentes técnicas podem ser empregadas para cedor não libera acesso FTP para seus clientes e, ao minimizar os riscos de acesso não autorizado. Uma invés disso, a parte contratante da hospedagem tem autenticação por chave pode ser uma das soluções de enviar os arquivos para os responsáveis pelo servi­ para fortalecer o nível de segurança e endurecimento dor e só então estes fazem o upload. Alguém se esque­ (hardening) do sistema, mas de fato esta abordagem ceu de avisar a estes “indivíduos” que estamos em não impede ataques de força bruta de serem realiza­ pleno século XXI. dos contra o servidor alvo, apenas torna inviável esta Este tutorial trata basicamente de como conseguir tática de “guerra”. manter seu servidor com acesso SSH fora do alcance Tenho plena certeza que muita gente pensa o se­ de indivíduos mal intencionados, mas lembre­se, na­ guinte: “vou fortalecer o sistema ao máximo e desta da na informática é 100%. Estou apenas mostrando forma indivíduos mal intencionados não poderão me como adicionar uma camada de segurança bem efici­ causar danos, pois não conseguirão acesso ao siste­ ente. ma”. Este pensamento pode ser considerado antiqua­ do e até irresponsável pelo simples fato de que não é Dicionário do mal necessário conseguir acesso ao sistema para causar Este subtítulo é um tanto irônico, mas acho bem “prejuízos”. Se você, por exemplo, permitir que indi­ apropriado para o tema aqui abordado. Este título re­ víduos realizem ataques de dicionário, existe a possi­ presenta para mim um conjunto de “palavras computa­ bilidade de estes conseguirem sobrecarregar o cionais” que podem ser utilizadas para conseguir servidor ao inundar o sistema com requisições inváli­ acesso não autorizado a um sistema informático. das de acesso. |41 Março 2012 • segurancadigital.info
  • 42. DICA / TUTORIAL Segurança DigitalDenyHosts veremos outra forma de baixar e instalar o O DenyHosts pode ser apresentado como uma das DenyHosts, mas lembre­se: se você utilizou um ge­melhores formas de proteger seu servidor contra ata­ renciador de pacotes como aptitude ou yum não seráques como força bruta. Em outras palavras preciso fazer a instalação do tar.gz.DenyHosts é uma ferramenta/script que monitora osarquivos de log /var/log/secure e /var/log/auth.log, Configurandorespectivamente para Red Hat/Fedora e Debian/Ubun­ Após o processo de instalação nos resta apenas re­tu. A partir deste monitoramento, esta ferramenta adi­ alizar as configurações finais, configurações estasciona entradas em /etc/hosts.deny, arquivo que tornarão o DenyHosts funcional. Caso você te­responsável por negar pedidos de requisições vindas nha instalado esta ferramenta por meio de gerencia­dos hosts listados em seu interior, vale ressaltar ainda dores de pacotes em distros baseadas no Debian, oque as entradas são adicionadas a este arquivo seguin­ arquivo de configuração se encontra emdo parâmetros determinados pelo administrador, co­ /etc/denyhosts.conf, já no caso de RedHat/Fedo­mo, por exemplo, número de requisições negadas ra/CentOS o arquivo em questão fica emdentro de um intervalo de tempo. Ressalto ainda que /etc/hosts.deny.DenyHosts pode ser instalado em qualquer distro Tanto na instalação por meio de gerenciadores deGNU/Linux, neste tutorial levaremos em conta a ins­ pacotes como por meio do arquivo tar.gz as configu­talação em ambiente Fedora e Debian, lembrando ain­ rações são basicamente as mesmas. Relembrando queda que com poucas ou nenhuma modificação este se você fizer a instalação via tar.gz será preciso criarpode ser instalado em outras distribuições. links simbólicos para diretórios do sistema e renome­ ar o arquivo de configuração, ou seja, você terá tra­Mãos à obra balho dobrado. Editando o arquivo de configuração, Chega de conversa e vamos fazer a instalação do você deverá ficar atento às informações relacionadasDenyHosts. Basicamente, esta instalação pode ser fei­ aos endereços de arquivos de logs da distribuição nata de duas formas, por meio de gerenciadores de paco­ qual o DenyHosts foi instalado:te como apt­get/aptitude em distribuições Debian eyum em distribuições como Fedora. Outra forma defazer a instalação é baixando o pacote tar.gz no ende­ # Arquivo de LOG a ser verificadoreço [1] Neste tutorial irei instalar o DenyHosts em SECURE_LOG = /var/log/secureum ambiente Debian 6 (squeeze) e Fedora 16, utili­ # Arquivo que contém hosts bloqueadoszando gerenciadores de pacote. HOSTS_DENY = /etc/hosts.deny # Limpar o arquivo /etc/hosts.deny a cada 3 diasInstalando via aptitude yum PURGE_DENY = 3d Aqui utilizarei o comando aptitude para fazer a ins­ # Especifica o serviço a negar acessotalação do DenyHosts mas, caso você prefira utilizar BLOCK_SERVICE = sshdo apt­get, fique à vontade. A primeira linha do quadro # Quantos logins inválidos de usuário inexistentesabaixo se refere ao comando que deve ser utilizado indica uma tentativa de ataqueem distribuições Debian e derivadas, já a segunda li­ DENY_THRESHOLD_INVALID = 3nha é utilizada em distribuições Fedora e derivadas: # Quantos logins inválidos de usuário existente indica uma tentativa de ataque # aptitude install denyhosts DENY_THRESHOLD_VALID = 5 # yum install denyhosts # Quantas tentativas invalidas de login como root caracterizam uma tentativa de ataque Utilizar gerenciadores de pacotes como aptitu­ DENY_THRESHOLD_ROOT = 1de/yum apresenta diversas vantagens, como, por ex­ # Denunciar logins inválidos vindos de máquinasemplo, não ser necessário fazer um download manual válidasdo pacote, não ser preciso descompactar nem mover SUSPICIOUS_LOGIN_REPORT_ALLOWED_arquivos dentro do sistema, pois estes já são enviados HOSTS=YESpara seus devidos diretórios e, por último, não ser pre­ ###Parâmetros opcionais para envio de e­mails deciso criar links dentro do sistema. No tópico seguinte alerta|42 Março 2012 • segurancadigital.info
  • 43. DICA / TUTORIAL Segurança Digital guintes linhas no arquivo de configuração: ADMIN_EMAIL = adm@endereco.com.br SMTP_HOST = mail.endereco.com.br SMTP_PORT = 25 # caso você utilize algum firewall, certifique­se que SMTP_FROM = DenyHosts a porta 9911 pode ser utilizada pela ferramenta: SMTP_SUBJECT = Relatorio DenyHosts SYNC_SERVER = http://xmlrpc. denyhosts.net: ### Parâmetros para o modo daemon 9911 DAEMON_LOG = /var/log/denyhosts # permitir ou negar download da lista colaborativa: # Intervalo de tempo para verificação do arquivo de SYNC_DOWNLOAD = yes log. # permitir ou negar upload da lista de bloqueios DAEMON_SLEEP = 30s realizado pelo seu server: # Intervalo para limpeza da lista de bloqueados. SYNC_UPLOAD = yes DAEMON_PURGE = 1d Mas existe um problema em utilizar esta aborda­Valores de tempo gem. Um servidor com DenyHosts mal configurado pode bloquear um host que não apresenta perigo al­ Unidade de tempo Descrição gum, para evitar isso você pode descomentar a se­ s Segundo guinte linha: m Minuto SYNC_DOWNLOAD_THRESHOLD = 6 h Hora d Dia Esta, por sua vez, tem a função de fazer download w Mês somente daqueles hosts que tiverem sido bloqueados em pelo menos 6 servers diferentes, com certeza esta y Ano abordagem tornará a lista de hosts mais fidedignas. Caso você especifique algum valor e não indique a Outro recurso interessante que pode aumentar ain­unidade de tempo, o valor a ser considerado será em da mais a veracidade da sua lista é:segundos. SYNC_DOWNLOAD_RESILIENCY = 2dDenyHosts funcionando Ao realizar a instalação por meio dos gerenciado­ Este, por sua vez, tem como objetivo considerarres de pacote, o DenyHosts irá funcionar em modo apenas os hosts que estiverem bloqueados a pelo me­Daemon , ou seja, rodará constantemente em segundo nos dois dias. Lembrando que você pode editar esteplano, não sendo necessário que você solicite sua exe­ valor utilizando outras unidades de tempo ou atécução. mesmo outros valores para esta mesma unidade. Toda vez que um host identificado como potencialatacante for detectado, uma entrada será adicionada [1] ­ http://sourceforge.net/projects/denyhosts/files/ao arquivo especificado na variável HOSTS_DENY. denyhosts/Os valores adicionados seguem mais ou menos estepadrão: Fábio Jânio Lima Ferreira ­ (Diretor e Diagramador) sshd: 123.456.789 sshd: 234.567.890 Analista de suporte técnico, administra­ dor de redes, programador, ativista e de­ sshd: 345.678.901 fensor do software livre. Sem sombra deDefesa colaborativa dúvida o campo da segurança computaci­ onal me seduz como nem uma outra área. Resumidamente, o DenyHosts possui uma lista glo­ Apaixonado por tecnologia e fascinadobal contendo hosts potencialmente agressivos, sendo pela cultura hacker.assim você não precisa esperar que um ataque seja re­alizado contra sua máquina para poder adicionar estes Email: fabiojanio@segurancadigital.infohosts a lista de máquinas bloqueadas. Para ativar o re­ Blog: www.fabiojanio.comcurso de lista colaborativa, basta descomentar as se­ Twitter: @_SDinfo|43 Março 2012 • segurancadigital.info
  • 44. NOTÍCIASViolação de e­ mail sírio indica guerra digital ker Anonymous afirmaram que a A divulgação de dezenas de e­ infiltração da Interpol na organi­ mails reveladores do presidente zação foi o que levou à prisão de Bashar el­Assad aponta para 25 hacktivistas na Europa e uma nova era de guerra de infor­ América Latina. O grupo afir­ mações ­­ tenha sido ela ação mou que quase todos os integrantes presos haviamdos próprios rebeldes sírios, resultado de ajuda de participado em um mesmo site da rede usado peloagências de espionagem do Ocidente ou de hackers Anonymous.ativistas. >> http://migre.me/8k8rc>> http://migre.me/8k8bk Em entrevista, fundador do Megaupload com­13 empresas de TI são processadas por roubo para site ao Googlede dados O alemão Kim Dotcom, o fun­ Um grupo de norte­americanos dador do Megaupload, conce­ processou várias empresas de tec­ deu na quinta­feira (1°) sua nologia por elas terem violados primeira entrevista para TV ne­ seus dados pessoais em ozelandesa depois de ser solto smartphones. Eles alegam no pro­ da prisão. Ao jornalista John Campbell, o empresá­cesso que os apps (das empresas Facebook, Beluga, rio, que é acusado de facilitar a pirataria e causar umYelp, Burbn, Instagram, Foursquare Labs, Gowalla, prejuízo de US$ 500 milhões, disse que o site estavaFoodspotting, Path, Twitter, Apple, Hipster, Linke­ protegido pela lei do Digital Millennium CopyrightdIn, Rovio, ZeptoLab, Chillingo, Electronic Arts e Act (DMCA), a mesma que protege sites como oKik) acessam, sem autorização, os dados pessoais – YouTube e o Google.como lista de contatos telefônicos e de e­mails – para >> http://migre.me/8k8ujcompartilhar informações ou mesmo montar uma ba­se de dados.>> http://migre.me/8k8gj Linus Torvalds critica distros que pedem se­ nha de root para tarefas comuns Opinião pessoal não deve ser leva­Assange, do WikiLeaks, estuda virar político da em conta na hora de generalizar O fundador e líder do WikiLe­ sobre determinado sistema, mas aks, Julian Assange, planeja se quando essa opinião vem de al­ candidatar a uma cadeira no Se­ guém com grande influência na nado da Austrália, anunciou o origem do mesmo, não dá para dei­ grupo anti­sigilo no Twitter nes­ xar o caso passar despercebido. Linus Torvalds desa­te sábado. Os comentários não puderam ser imediata­ bafou no seu Google+ sobre as políticas de segurançamente confirmados. O australiano Assange, 40, está do OpenSUSE.atualmente em regime de prisão domiciliar no Reino >> http://migre.me/8k8xkUnido e luta contra a extradição para a Suécia paraser interrogado sobre acusações de crimes sexuais.>> http://migre.me/8k8lR Contribua com nosso projeto?Anonymous: Interpol se infiltrou no grupo pa­ Envie um email para nossa equipe!ra prender membrosPessoas identificadas como membros do grupo hac­ contato@segurancadigital.info|44 Março 2012 • segurancadigital.info
  • 45. www.ablesecurity.com.br|45 ANÚNCIO AbleSecurity Março 2012 • segurancadigital.info
  • 46. ANÚNCIO Data Security|46 Março 2012 • segurancadigital.info
  • 47. Parceiros Venha fazer parte dos nossos parceiros, que apoiam e con­ tribuem com o Projeto Segu­ rança Digital. |47 Março 2012 • segurancadigital.info
  • 48. PARCEIRO 4Linux Pen test» Teste de Invasão em Redes CorporativasO curso é totalmente prático e aborda métodos, téc­ Alunos, que já concluíram o curso 415, serão ca­ nica e ferramentas utilizadas por Hackers, utili­ pacitados a analisar e explorar vulnerabilidades exis­ zando­as para a realização de Testes de invasão tentes que podem ter sido deixadas mesmo após um(Pen Tests). Todo conteúdo é transmitido de forma prática processo de hardening. O profissional precisa conhe­e dinâmica, apresentando desafios para serem resolvidos cer como um processo de hardening é realizado, paraao longo do curso. Dessa maneira, o aluno se deparará saber o que e onde testar se o processo foi realizadocom cenários reais que simularão contextos específicos on­ com sucesso. No relatório final, o profissional estaráde precisará realizar um Teste de invasão, onde no final do capacitado, com a visão de um possível invasor, à in­curso um relatório final deverá ser apresentado. dicar onde as brechas estão e quais os procedimentos Esse é o segundo curso da formação em seguran­ que devem ser realizados para se executar uma sinto­ça, onde o aluno, após aprender a proteger seu servi­ nia fina no hardening do sistema.dor (através do curso 415), aprenderá técnicas aindamais avançadas para descobrir e explorar vulnerabili­dades, avaliando seu grau de risco e ameaça, oferecen­do no relatório final o resultado de seu trabalho ecomo mitigar as falhas e vulnerabilidades encontra­das.Quem deve fazer este curso e por quê Consultores de Segurança, Analistas de segurançae Administradores de Redes que queiram entender ofuncionamento das intrusões feitas pelos Crackers.Os profissionais de TI serão capacitados para realizarTestes de Segurança, permitindo que identifiquem vul­nerabilidades e qualifiquem ameaças, conseguindo as­sim quantificar os riscos e nível de exposição dosativos da empresa, tendo o conhecimento para identi­ficar comportamento hostis em suas redes no caso denecessidade de Resposta a Incidentes de Segurança. Além disso, também serão capacitados a validarseus mecanismos de segurança por meio de Pen­Test(Teste de invasão de Rede). Este curso é baseado emmetodologias internacionais para avaliações e testesde segurança, onde cada item de uma rede ou servi­dor é testado, levando em consideração os vários ti­ Para mais informações acesse:pos de ataques possíveis e ameaças existentes. http://www.4linux.com.br/cursos/cursos­ Alunos, que já concluíram o curso 415, serão capa­ seguranca.html#curso­406citados a analisar e explorar vulnerabilidades existen­tes que podem ter sido deixadas mesmo após umprocesso de hardening. O profissional precisa conhe­cer como um processo de hardening é realizado, parasaber o que e onde testar se o processo foi realizadocom sucesso. No relatório final, o profissional estarácapacitado, com a visão de um possível invasor, à in­dicar onde as brechas estão e quais os procedimentosque devem ser realizados para se executar uma sinto­nia fina no hardening do sistema.|48 Março 2012 • segurancadigital.info
  • 49. PARCEIRO Data Security Aplicação de técnicas forenses na investigação e» prevenção a fraude (parte 1)Introdução nais que apresentam como objetivo a identificação de A fraude, segundo o dicionário Aurélio, traz em incidentes de segurança. Sabendo que a segurança dauma de suas definições do termo a falsificação, adul­ informação é uma das bases do processo investigati­teração tendo como uma de suas características a má vo, torna­se necessário conhecer um pouco sobre estefé. Neste contexto, o artigo tem como escopo o uso termo, principalmente no que tangem os processosde técnicas investigativas a fraudes praticadas em investigativos, para isto será introduzido o conceitomeios eletrônicos, tais como dispositivos de computa­ do controle em segurança. E neste caso há hoje umação pessoal, como estações de trabalho, dispositivos norma que determina a necessidade de controles emportáteis como telefones celulares e demais elemen­ segurança que são conhecidos como família ISOtos que visam contribuir com a aplicação de metodo­ 270002. No Brasil, esta família de normas é materia­logias investigativas. Este artigo não tem a pretensão lizada como NBR ISO/IEC 270013, NBR ISO/IECde indicar softwares ou soluções específicos, pois em 270024, NBR ISO/IEC 270045, NBR ISO/IECse tratando de uma metodologia, considera­se que 270056, NBR ISO/IEC 270117. Este artigo não visaqualquer ferramenta que se destina a produzir o resul­ explorar o significado de todas estas normas, nemtado desejado atenderá as necessidades propostas pe­ sua relação com o processo investigativo, entretanto,las metodologias apresentadas neste documento. consideramos importante que qualquer metodologia investigativa, tenha como base o processo de trata­Contextualização da Fraude mento de resposta a incidentes8 atenda os controles Considerado como ardil, a fraude visa ludibriar ví­ definidos pela NBR ISO/IEC 27002.timas, com o objetivo de ganhos por parte do frauda­ É possível perceber em um grupo de resposta dedor. O contexto apresentado neste artigo traz como incidentes de uma empresa diversos profissionais deescopo a experiência do autor Prof. Msc. Marcelo diversas áreas, não somente limitados a profissionaisLau indicando a atuação prática, baseada na adoção de tecnologia ou segurança da informação. Esta ob­de metodologias que foram construídas ao longo de servação é identificada por este autor em sua experi­estudos de caso1, apresentados ao longo de sua carrei­ ência em instituições financeiras, que tambémra até o momento, indicando cuidados importantes percebeu ao logo de sua carreira, similaridades daque devem ser tomados pelo perito no processo de re­ adoção deste modelo no restante do mercado. Estaalização de perícia forense. composição de profissionais possibilita uma sinergia O primeiro contato do autor ao contexto investiga­ no atendimento de crises que podem levar a perda detivo surgiu ainda em um período de atuação deste pro­ confidencialidade, integridade e disponibilidade dosfissional em instituição financeira brasileira, por ativos9. O autor resume em poucas palavras que omeio do trabalho realizado em um grupo de resposta termo confidencialidade visa manter o sigilo dos ati­a incidentes. Um grupo de resposta a incidentes se ca­ vos, enquanto que a integridade visa manter o estadoracteriza como um grupo especializado de profissio­ completo dos ativos e a disponibilidade, visa manter1 Consideram estudos de caso neste texto, as experiências práticas vividas pelo autor.2 Não se deve confundir a família ISO 27000 com a norma ISO 27000 que contêm uma visão geral evocabulário da norma. Para isto, recomendamos uma visita ao site da ISO/IEC 27000:2009, indicado nasreferências deste artigo.3 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1492.4 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1532.5 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 58103.6 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 1575.7 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 56448.8 O tratamento de resposta a incidentes é definido pela NBR ISO/IEC 27002 por meio do objetivo decontrole Gestão de Incidentes de Segurança da Informação.9 Entendem­se como ativo qualquer coisa que tenha valor para uma organização. Os ativos podem ser classificados como ativostangíveis e ativos intangíveis. Exemplos de ativos podem ser: edificações, equipamentos, serviços, processos, pessoas e demaiselementos que apresentam valor para uma organização.|49 Março 2012 • segurancadigital.info
  • 50. PARCEIRO Data Securityacessíveis os ativos a quem têm direito. às tentativas de envio de arquivos anexados em cor­ Retornando a questão da fraude, há aspectos im­ reio eletrônico a vítimas. Neste momento eram aindaportantes a serem considerados quando alinhados ao utilizados como temas das mensagens eletrônicas,processo de resposta a incidentes, pois o tratamento nomes e conteúdos que se faziam passar por institui­pode ocorrer em função de eventos ou incidentes. ções financeiras.Consideram­se eventos um ou uma série de ocorrênci­ Este tipo de ardil11 hoje é muito difundido noas que geram a suspeita da perda de integridade, dis­ mundo inteiro, onde se consideram alguns elementosponibilidade ou integridade de um ativo. Somente que corroboram a insistência sobre este método atédepois da confirmação de um incidente é que pode­ os dias atuais. O primeiro elemento é o fato de semos afirmar que este realmente é um incidente de se­ considerar que a fraude em meios eletrônicos podegurança. O processo investigativo de fraude pode ocorrer em princípio por meio de três elementos: oabranger tanto análise de eventos, quanto de inciden­ emissor, o meio e o receptor. O emissor é em nossotes, pois em diversos momentos, antes de um atacante caso o provedor do serviço eletrônico, muitas vezesou fraudador obter sucesso à aplicação de fraude, este disponibilizados em canais como a Internet, entretan­tenta insistentemente realizar tentativas que podem to não devemos esquecer que demais serviços eletrô­ser registradas em sistemas e serem investigadas de nicos12 não disponíveis somente neste meio deforma apropriada. Este processo não será detalhado comunicação13. O meio trata da infraestrutura de co­com profundidade neste artigo, por não ser o objeto municação entre o emissor e o receptor. Este meioprincipal deste documento, pois o objetivo é informar pode ser a Internet ou qualquer outro meio que possi­ao leitor a metodologia investigativa adotada em inci­ bilite a conectividade destes elementos. Por fim o re­dentes de segurança. ceptor que é em nosso caso o cliente que deseja Considerando que a experiência inicial do autor es­ acessar os serviços eletrônicos disponíveis. Hoje otá relacionada à atuação de processos investigativos ponto mais suscetível à fraude é o receptor, e porrelacionados à prevenção a fraude na atuação em uma meios dos parágrafos seguintes deste artigo, o autorequipe de resposta a incidentes, devemos entender a traz a base científica para esta afirmação.metodologia apresentada neste artigo, reflete o resul­ Quando contextualizamos neste artigo o emissortado de uma análise crítica da atuação em forense por no processo investigativo e de prevenção a fraudes,meio de processo empírico analítico10 adotado pelo identificamos como ponto focal os serviços disponi­autor e o resultado das observações sobre os fatores bilizados por instituições financeiras. Se tomarmosde sucesso nestes processos investigativos. Com isto, como base a comparação da robustez dos mecanis­traçamos um paralelo entre a metodologia e as obser­ mos de proteção e controles entre o emissor e recep­vações realizadas em campo pelo autor que são mate­ tor, percebemos que o emissor apresenta mecanismosrializados pelo parágrafo seguinte deste artigo. de proteção que são mais robustos comparados aos Os primeiros incidentes tratados pela equipe de mecanismos e controles apresentados pelo receptor,resposta a incidentes presenciados pelo autor estavam isto se deve pelo fato do emissor adotar arquiteturasrelacionados à fraude financeira e eram relacionados de segurança não adotados em geral pelo receptor.10 O processo empírico analítico se baseia na condução de diversas ações, baseadas em uma hipótese. Uma vez que a ação resulte emvalidação da hipótese para formulação de uma metodologia, para que esta possa ser utilizada com restrições em algumas generaliza­ções. Estas restrições estão relacionadas às similaridades dos eventos observados e sua aplicação prática no processo investigativo fo­rense.11 As técnicas em parte são similares às presenciadas nos primeiros incidentes, entretanto há algumas variações quanto à aplicação defraude em meios eletrônicos, dentre eles a não obrigatoriedade do envio de anexos em mensagens eletrônicas, que foi substituído peloenvio de links que possibilitam o download de arquivos maliciosos, que uma vez instalados permitem a captura e envio de informaçãode dados coletados da vítima ao fraudador por meios de comunicação disponíveis. Outro ponto evolutivo das ameaças é a existência detemas de mensagens eletrônicas que não utilizam necessariamente temas de instituições financeiras, podendo se passar por outros te­mas que visam ludibriar a vítima.12 Estes serviços eletrônicos mencionados trazem em seu significado, o uso de qualquer mecanismo ou sistema eletrônico que permitarealizar uma operação computacional. Neste caso, podemos incluir como exemplo os sistemas de pagamento por cartão de crédito,podendo também ser tão simples como as operações realizadas em telefones celulares como o envio de SMS (Short Message).13 Estes demais meios de comunicação são caracterizados como comunicações em link de dados, que podem estar restritos as redescorporativas e demais outras denominações como intranets e extranets.|50 Março 2012 • segurancadigital.info
  • 51. PARCEIRO Data SecurityNeste caso fazem parte dos itens desta arquitetura ele­ serviço acessado, possibilitando pelo embaralhamen­mentos de filtragem e monitoramento em segurança to a implementação da confidencialidade sobre oda informação, tais como Firewall14, IDS15/IPS16, An­ meio de comunicação.tivírus17, Hardening18 e demais elementos que pos­ Com esta descrição comparativa existente nos pa­sam contribuir com a segurança do emissor por meio rágrafos anteriores deste artigo se percebe que o eloda implementação destes mecanismos em camada19. mais fraco em termos de segurança da informação éDestes mecanismos de proteção mencionados, em ge­ o receptor, neste caso o usuário do serviço que deveral o receptor conta com proteções apenas baseadas adotar mecanismos de controle para sua proteção.em Antivírus, não possuindo as mesmas camadas de Estes controles podem ser caracterizados pela exis­proteção hoje existentes no emissor. tência de Antivírus atualizado constantemente e con­ O meio, que é algo ainda não foi mencionado com figuração segura do sistema operacional edetalhes neste artigo, é considerado como um meio aplicativos, processo similar às técnicas de Harde­bem protegido, principalmente quando estamos consi­ ning. Baseado neste cenário, identificaremos algumasderando comunicação cifrada, ou criptografada. A técnicas e metodologias investigativas para o proces­criptografia neste caso é a implementação de tecnolo­ so de confirmação da existência de fraude e proposi­gia que permite o embaralhamento de informações, ção de metodologias investigativas, disponíveis nossejam destinadas ao armazenamento ou transmissão próximos capítulos deste artigo.de dados. Em no escopo deste artigo, o meio utiliza­do em comunicações para transações financeiras, em Metodologia de Identificação da Fraudegeral é a Internet, quando tratamos de contextualizar Deve­se considerar que nem toda fraude identifi­a fraude em meios eletrônicos envolvendo clientes e cada como bem sucedida sistemicamente (ou seja,instituições financeiras. Neste caso é padrão o uso de identificado nos sistemas seja por denúncia ou filtrosSSL20 (Security Socket Layer) como camada de emba­ de detecção de fraude), indica imediatamente a víti­ralhamento destes dados. O SSL na prática é a adoção ma da fraude. Neste aspecto, é necessário o investi­de certificado digital no serviço que se deseja disponi­ mento de tempo e conhecimento investigativo parabilizar. Neste caso o certificado digital é representado realizar o processo de confirmação na identificaçãopor um conjunto de bits21 gerados pelo sistema de cer­ do fraudador e a vítima, ou as vítimas de uma fraude.tificação digital que provê a certeza da identidade do Há situações que se identifica a vítima como frau­14 Firewall é uma implementação de filtro de pacotes que permite a inspeção de seu conteúdo de acordo com o protocolo de comunica­ção, em geral baseado em TCP/IP (Transmission Control Protocol/ Internet Protocol). O Firewall pode ser implementado através deequipamentos especializados para o desempenho desta função ou configurados em software que podem ser utilizados sobre um sistemaoperacional de livre escolha do responsável pela implementação, isto é, se o software tiver suporte adequado para ser instalado na baseoperacional desejada.15 Intrusion Detection System. É um sistema de detecção de intrusão que pode ser baseado na implementação host ou rede. Em geralestes sistemas são configurados apenas para alertar os responsáveis pela segurança da existência de eventos ou incidentes de seguran­ça, não envolvendo uma resposta do sistema aos ataques por meio do envio de pacotes TCP/IP.16 Intrusion Prevention System. É um sistema que além de detectar a intrusão, tem como objetivo o envio de pacotes TCP/IP possibili­tando a ação de contramedidas contra ataques identificados no meio de comunicação originada pelo sistema.17 Sistema de detecção de vírus, programas de computador que tem o objetivo de identificar demais ameaças conhecidas como malwa­re (Malicious Software).18 Hardening é um procedimento realizado para fortificar o sistema operacional e aplicativos por meio da configuração segura do mes­mo. Este procedimento se baseia na configuração de permissionamentos restritos ao sistema, assim como a aplicação de correções desegurança e instalação apenas dos aplicativos e serviços necessários, evitando que o sistema seja exposto de forma desnecessária àsameaças tratadasem segurança da informação.19 A arquitetura em camada consiste na aplicação de sucessivos mecanismos de proteção que visam proteger os ativos contra a perda deconfidencialidade, integridade e disponibilidade.20 Recomendo aos interessados em se aprofundar mais sobre o tema a leitura do livro SSL and TLS: theory and practice, referenciadona bibliografia deste artigo.21 Bit é a menor unidade binária utilizada no processo de armazenamento e transmissão de informações em sistemas informatizados,sugiro como aprofundamento a leitura de um livro que aborda os princípios da Eletrônica no livro Introduction to Digital Electronics,referenciado na bibliografia deste artigo.|51 Março 2012 • segurancadigital.info
  • 52. PARCEIRO Data Securitydador, onde este simula a ocorrência de fraude, visan­ da fraude;do ganho financeiro. Isto é conhecido como auto frau­ Quando ocorreu:de. A auto fraude pode ser ilustrada em serviços Visa delimitar a linha de tempo sobre o conjun­como seguros, onde a suposta vítima, desejando ter o to de evidências identificadas nos dois itens an­valor correspondente de seu veículo simulado, provi­ teriores do 5W1H;dencia o desaparecimento de seu próprio veículo, Porque ocorreu a fraude:com o objetivo do recebimento do prêmio do seguro.Em meios eletrônicos, uma suposta vítima também Em geral as fraudes que ocorrem neste meio vi­pode vir a transferir valores financeiros ou mesmo re­ sam como benefício o fraudador, entretanto,alizar resgates em sua conta corrente, alegando a exis­ podemos considerar o benefício de outros en­tência de fraude. Neste contexto, é importante antes volvidos que podem ser descobertos no proces­de qualquer adoção de metodologia investigativa, con­ so investigativo;siderar o processo de confirmação do incidente ou da Como ocorreu a fraude:fraude. Visa organizar em linha de tempo as evidências Este processo de confirmação inclui a análise de al­ identificadas nos itens anteriores do 5W1H; eguns elementos externos ao equipamento do recep­ Quem cometeu a fraude:tor22, complementado pela análise de evidências Este item visa revelar a identidade de quem co­disponíveis no equipamento da suposta vítima. Este laborou com a ocorrência da fraude.processo formal23 visa confirmar a existência da ocor­rência da fraude. Vale ressaltar que esta é uma proposta metodoló­ Caso seja confirmada a ocorrência de uma fraude, gica recomendada pelo autor e que esta pode serconsidera­se importante a preservação de evidências aplicável em alguns processos investigativos, entre­que possibilite a identificação de provas disponíveis tanto não se têm como pretensão a generalizaçãono meio eletrônico, em geral, um computador pesso­ desta metodologia sem a devida validação dos mes­al24, que possa responder alguns pontos importantes mos por meio do método científico.relacionados ao incidente. Estes pontos são derivados Esta metodologia ainda deve estar atrelada ao pro­da metodologia 5W1H25 (What, Where, When, Why, cesso formal em forense computacional, que visaHow e Who), que traduzidos26 são respectivamente atender alguns princípios27 em forense computacio­(O que, Onde, Quando, Porque, Como e Por Quem): nal28, tais como: O que aconteceu: Identificação da Evidência: Identificação de evidências e ações realizadas Método utilizado para identificar a evidência a de programas maliciosos, ou vulnerabilidades ser coletada e analisada; exploradas sobre o sistema afetado que podem Preservação da Evidência: ter levado a ocorrência da fraude; Método utilizado para assegurar a integridade Onde ocorreu a fraude: por meio da realização de procedimentos de co­ Confirmação do computador ou computadores leta, transporte e armazenamento seguro da evi­ que podem ser sido utilizados para a ocorrência dência identificada;22 Dentre estes elementos externos estão a análise de registros gerados pelo emissor pelas transações financeiras.23 A formalização é necessária, pois todo documento gerado pelo processo investigativo deve ser realizado de acordo com a lei e so­mente um processo documentado, pode subsidiar as partes em uma disputa legal, onde o perito será base de decisões do magistrado pormeio do laudo pericial.24 Considera­se um computador pessoal, pois a vítima de uma fraude, em geral utiliza um computador, seja este de uso particular oupertencente à empresa que a vítima trabalha.25 Metodologia também identificada no livro Advances in hybrid information technology, referenciado na bibliografia deste artigo.26 Esta não é uma tradução literal somente, é a interpretação e contextualização dada pelo autor quanto ao significado desta metodolo­gia.27 Os significados fornecidos pelo princípio foram fornecidos pelo autor deste artigo.28 Estes princípios são considerados pelo autor os mais adequados no processo metodológico com computação forense, sendo conside­rados por muitos os processos clássicos, entretanto não podemos deixar de lado outros processos que possam ser adotados pelo perito,que de alguma forma ou outra devem seguir uma sequência estruturada e ordenada de ações.|52 Março 2012 • segurancadigital.info
  • 53. PARCEIRO Data Security Análise da Evidência: sequenciais e dependentes a execução de tarefas que Método adotado para interpretar e identificar possibilitam a aplicação prática destes modelos no provas contidas nas evidências preservadas; e processo de investigação de fraudes, as quais podem Apresentação dos Resultados da Análise ser lidas ao longo da continuação deste artigo. Forense: Método adotado para a geração de documentos Aplicação Investigativa da Metodologia que possibilitem a interpretação dos fatos iden­ de Identificação da Fraude tificados na etapa de análise de evidência, devi­ O perito ao se deparar com uma evidência deve damente contextualizados à fraude. ser capaz de tratar este conteúdo de forma adequada a fim de manter a integridade sobre a mesma, isto ga­ Estes princípios em forense computacional tam­ rantirá a obtenção dos dados definidos pelo modelobém respeitam um padrão estabelecido em 2002, co­ 5W1H, assim como assegura a certeza do perito so­nhecido como RFC 322729, intitulado Guidelines for bre as conclusões de uma evidência analisada semEvidence Collection and Archiving, sendo um conjun­ contaminações que possam ter sido adicionadas peloto de boas práticas destinadas às práticas forenses, perito ou processo adotado pelo perito, de acordopossibilitando ações de identificação, preservação, com os princípios forenses já explorados no item an­análise e apresentação dos resultados de uma análise terior deste artigo.forense, apesar do autor considerar que estas práticas Em nosso modelo, relacionado à fraude, em geralmencionadas são incipientes comparadas com as téc­ a evidência estará relacionada a dispositivos analisa­nicas hoje conhecidas e praticadas pelos profissionais dos da vítima33, entretanto considera­se importanteem investigações. Algumas das práticas adotadas no avaliar nesta mesma metodologia investigativa a ne­próximo item deste artigo visam aprofundar alguns cessidade de se adotar procedimentos similares nodos princípios trazidos por este padrão. processo de análise de evidências coletadas de frau­ Em termos de padrão, vale mencionar que está em dadores suspeitos, que pode não se limitar somente adesenvolvimento uma norma intitulada como ISO equipamentos de uso pessoal como computadores,2703730, que deve complementar a RFC31. Este docu­ dispositivos de armazenamento, podendo se estendermento intitulado como Evidence Acquisition Procedu­ também com a análise de evidências disponíveis emre for Digital Forensics32, deve compor as várias sistemas de correio eletrônico, navegação entre ou­práticas hoje adotadas pelos profissionais que hoje tros disponíveis em outros ambientes e/ou provedo­atuam no âmbito investigativo de evidências digitais. res que podem assegurar a rastreabilidade da ação do A partir da adoção destes princípios e modelos me­ fraudador sobre uma vítima.todológicos, considera­se importante entender a apli­ O primeiro procedimento a ser adotado pelo peritocação prática deste modelo no processo investigativo ao se deparar com a vítima de uma fraude é identifi­relacionado à identificação de fraudes. Esta materiali­ car por meio de depoimento34 o dispositivo ou equi­zação da metodologia ocorre por meio de atividades pamento35 utilizado pela vítima relacionado ao29 O conteúdo da RFC 3227 pode ser acesso na íntegra em: http://www.ietf.org/rfc/rfc3227.txt30 O autor desconhece uma fonte confiável que disponibilize uma versão preliminar desta norma.31 RFC tem como acrônimo, as palavras Request for Comments. Hoje as RFCs são padrões aceitos pelo mercado de tecnologia.32 Esta norma está sendo desenvolvida por um fórum Intitulado FIRST, dentro de um grupo denominado SIG (Special Interest Groups).Mais dados podem ser obtidos no site http://www.first.org/.33 Outros elementos poderiam ser escolhidos na aplicação desta metodologia, entretanto, escolheu­se identificação de evidências de ví­timas, pois este em geral é o ponto inicial gerador de uma investigação, sendo que as evidências, neste caso, se encontram na maioriadas vezes disponíveis ao processo investigativo.34 Não é somente por depoimento que esta identificação é realizada, pois a identificação de evidências por meio de registros geradospor sistemas permite também a identificação de evidências. Quando se menciona depoimento, isto não significa que o processo tam­bém se baseará em algo somente descritivo. Há espaço neste depoimento o informe de detalhes da vítima informando detalhes que pos­sam ser acessíveis aos sistemas informatizados apontados pela vítima e acessíveis no momento da prestação deste depoimento.35 Apesar de estes termos estarem no singular, isto não significa que os itens são excludentes, ou apenas um dos equipamentos devemser considerados no processo pericial. Deve­se considerar todo e qualquer equipamento ou dispositivo que tenha sido informado pelavítima. Na prática, a maioria dos usuários de meios informatizados, utilizam equipamentos em ambiente de trabalho e outro equipa­mento para uso de atividades particulares, mesmo que em muitos momentos estes equipamentos sejam disponibilizados por estabeleci­mentos públicos como cybercafés.|53 Março 2012 • segurancadigital.info
  • 54. PARCEIRO Data Securityserviço acessado, relacionado à ocorrência de fraude. neste conjunto equipamentos como smartphones38 eDentre os cenários36 que podem ser apresentados a ví­ demais dispositivos portáteis com a capacidade detima pode identificar dispositivos como: conectividade, navegabilidade e processamento. Nem sempre a vítima saberá identificar os dispo­ Computadores pessoais de uso exclusivamente sitivos utilizados e nem sempre os dispositivos iden­ pessoal: tificados podem ser periciados, pois alguns deles Caracterizam­se por meio de computadores de podem não terem autorização de seu proprietário pa­ uso doméstico residencial ou uso profissional ra realização da coleta, algo que pode ocorrer quando em ambiente de trabalho que tem como carac­ identificado que uma das evidências se encontra dis­ terística o uso por apenas um usuário, neste ca­ ponível em ambiente de trabalho e não autorizados so uso exclusivo da vítima; e pelo proprietário do dispositivo39; ou mesmo impos­ Computadores pessoais de uso compartilhado: sibilitados de se realizar a coleta em função do custo Caracterizam­se por meio de computadores de que pode ser proibitivo40, relacionado ao desloca­ uso compartilhado. Em ambiente residencial mento41 do perito ao local que se encontra a evidên­ este dispositivo pode ser compartilhado entre cia a ser coletada, ou mesmo a inexistência de seus familiares, em ambiente corporativo, com­ meios42 para fazer a extração das evidências como partilhado entre outros colegas de trabalho. pode ocorrer em sistemas que o perito não possui tec­ Ainda podem surgir demais outros equipamen­ nologia43 para a remoção das evidências em processo tos compartilhados como aqueles disponibiliza­ de coleta. dos em ambiente comunitários, sejam eles Na prática, diversas atividades investigativas rela­ ambientes acadêmicos, hotéis, cybercafés e de­ cionadas à fraude e alguns outros ilícitos não reque­ mais estabelecimentos37 que destinam seus rem que o perito realize esta tarefa, pois a evidência equipamentos para uso comum. muitas vezes apresentada pelo perito já se encontra disponível para análise, não havendo a necessidade Ainda pode se entender como computadores, dis­ de sua participação nesta etapa do processo. Entre­positivos que tenham a capacidade de navegação à in­ tanto, é importante que o perito conheça a metodolo­ternet e realização de transações, se classificando gia, pois este pode avaliar se outro profissional que36 Estes cenários segundo experiência do autor permitiu identificar esta dicotomia, apresentada. Nada impede que variações possam serpropostas a esta classificação apresentada. Esta divisão no ponto de vista do autor facilita a adoção de medidas investigativas, pois pre­missas distintas são adotadas na investigação dos dois tipos de cenários apresentados.37 Devemos considerar locais como escolas, universidades, tele centros (centros informatizados disponibilizados pelo governo aos ci­dadãos) e computadores que mesmo destinados ao ambiente de trabalho ou mesmo destinados ao uso residencial particular contémcom uma única credencial de acesso, ou diversas credenciais de acesso, mas com direitos administrativos sobre o sistema operacional.Neste caso, mesmo que o acesso seja realizado por diversos usuários distintos, um programa de computador com finalidade maliciosa,como por exemplo, a captura de dados de uma vítima, pode se tornar ativo para todos os usuários do computador, mesmo que somenteum dos usuários tenha sido responsável por sua instalação acidental.38 Entende­se como um dispositivo que apresenta as funcionalidades de um telefone celular com a integração de demais aplicativos aosistema operacional que podem estar relacionados à comunicação de dados, aplicativos de produtividade ao usuário, entretenimento,entre outros.39 Esta negação em relação à autorização pode ocorrer quando o equipamento a ser periciado tiver como justificativa, o uso essencialque pode colocar em prejuízo negócios ou prejuízo a pessoas, incluindo clientes, fornecedores ou funcionários.40 Consideram­se como custo proibitivo, situações que a coleta de evidência requer, por exemplo, a aquisição de sistemas especializa­dos para a replicação do mesmo ambiente que está sendo coletado. Oferece­se como exemplo, sistemas especializados de armazena­mentos de mídias como fitotecas e demais equipamentos que não fazem parte da tecnologia utilizada comumente pelos profissionais detodas as áreas como Mainframe (sistemas de grande porte especializado no processamento de informações quepossuem arquitetura operacional, além de hardware e software específicos para este processamento).41 No caso de custos relacionados ao deslocamento, estas limitações estão mais relacionadas a perícias que demandam existência detransporte regular ou adequado à localidade que requer a realização de perícia.42 Inexistência de meios pode ocorrer como a falta de infraestrutura adequada de energia elétrica, assim como dispositivos necessáriospara fazer coleta que não fazem parte do conjunto de ferramentas disponibilizado pelo perito.43 O perito pode não possuir tecnologia, como foi o caso mencionado de sistemas de armazenamento de fitas na nota de rodapé 40. En­tretanto, o perito pode ser desprovido ainda de conhecimento teórico e prático de como se realizar a perícia em sistemas que ele não te­nha familiaridade.|54 Março 2012 • segurancadigital.info
  • 55. PARCEIRO Data Securityesteve presente na cena do crime seguiu todas as reco­ çam as credenciais de acesso.mendações adotadas na metodologia, pois identificarfalhas nos processos de coleta pode significar a im­pugnação de uma evidência, podendo em alguns ca­sos, ser considerada nula qualquer conclusão obtidano processo de análise forense. Considera­se que uma vez que seja viável a coletade evidências, que esta se realize aos dispositivos re­conhecidos pela vítima e demais membros presentesno processo investigativo na cena do crime e acessí­veis ao processo de coleta, de tal forma que isto se ba­seie em dois pontos44 principais: Continua na próxima edição... Coleta de evidências voláteis: Visa coletar características da evidência, quan­ do este se encontra operacional. Dentre estas características se incluem a coleta de dados da memória RAM45, coleta de processos46, áreas temporárias47 e comunicações estabelecidas en­ tre a máquina da vítima e o ambiente de rede48: e; Coleta de evidências não voláteis: Visa coletar os dispositivos de armazenamento da evidência, onde se incluí disco rígido e mí­ dias disponibilizadas49 pela vítima. As evidências em processo de análise de fraude,muitas vezes não se encontram disponíveis na formade evidências voláteis, já que diversos equipamentose dispositivos coletados, podem se encontrar desliga­dos50 ou com acesso restrito51 a usuários que conhe­44 Estes pontos são considerados essenciais, pois diversas evidências somente são obtidas por evidências voláteis, apesar de se perceberna prática que o perito, em geral, irá obter somente para análise uma evidência coletada por outro profissional não tendo mais a possi­bilidade do resgate da evidência volátil.45 Random Access Memory. Forma de armazenamento volátil de dados composto por circuitos integrados.46 Processos são considerados programas em execução sobre o sistema operacional. Por meio da coleta de processos, é possível identi­ficar características como local de execução do programa de computador e demais informações que sejam úteis na identificação deprogramas de computador destinados a obter dados e informações de computadores de vítimas.47 Consideram­se como áreas temporárias aquelas que fazem o armazenamento em arquivo ou partição de conteúdos voláteis acessadospela memória do computador. Neste caso faz parte desta descrição, áreas de paginação, conhecidos também como áreas de swap.48 A tabela de comunicação permite identificar entre outras coisas os processos em execução, atrelados a portas de comunicação abertase respectivos endereços IP externos ao computador utilizados para a troca de dados. Diversos programas destinados ao furto de infor­mações estabelecem canais de comunicação permitindo que dados da vítima sejam enviados por meio deste método.49 Estas mídias podem ser óticas, magnéticas ou disponibilizadas em outros meios como papel.50 É fato que a maior parte das evidências analisadas por peritos são coletadas por outros profissionais, se encontrando disponível ape­nas o equipamento ou somente a mídia para os processos de preservação e análise da evidência.51 O acesso restrito pode ser dado ao se descobrir uma evidência como um computador ainda ligado com usuário autenticado no siste­ma operacional, mas com a tela bloqueada ao acesso. Apesar de esta ser uma dificuldade, é possível se utilizar de técnicas que fazem acaptura direta da memória RAM por resfriamento. Exemplo desta técnica pode ser consultado por meio de um trabalho acadêmico inti­tulado “Cold Boot Attacks on Encryption Keys”, disponibilizado pela Universidade de Princeton por meio dolink: http://citp.princeton.edu/memory/.|55 Março 2012 • segurancadigital.info
  • 56. PARCEIRO HostDime Desafios da Gestão de Segurança em Servidores» Compartilhados (Parte II)N a primeira parte deste artigo nós falamos um pou­ sistemas a testarem os mesmos exaustivamente a fim co sobre ataques que ocorrem diariamentena web­ de verificar se todos os quesitos de segurança são de­ sites que utilizam CMSs convencionais, tais vidamente correspondidos e que nenhuma etapa du­como Xoops, WordPress, Joomla, WHMCS e tantos ou­ rante o desenvolvimento seja deixada para o lado.tros. Isto ocorre geralmente pelo fato do sistema estar em Lembrem­se, é melhor um serviço demorar um pou­uma versão desatualizada e, portanto, vulnerável ­ sim, co mais a ser ativado e quando entrar em produçãoquanto maior o número de usuários de um sistema, maior ser um sistema seguro, do que um sistema ir "ao ar"a possibilidade de se descobrirem novos bugs e por isto, rapidamente e possuir uma série de falhas de segu­as constantes atualizações periódicas ­ ou por estes siste­ rança que podem comprometer não só as informa­mas estarem utilizando plugins comprometidos, obtidos ções de seus clientes, como também pode denegrir aem fontes não seguras ou simplesmente vulneráveis, como imagem de sua empresa diante do seu público alvo.foi o caso de aplicativos que usam o script TimThumb de­satualizado mostrado anteriormente. Nesta parte, vamos falar do lado não tão glamuro­so da força: os CMS pessoais. Mas o que são estes sis­temas? Nós geralmente chamamos de CMS pessoais,todo e qualquer sistema que não possui uma comuni­dade tão abrangente quanto a de CMS convencionais,são os famosos sistemas "por demanda", tão comu­mente utilizados por algumas empresas que planejamdisponibilizar seus serviços na grande rede sem recor­rer a um sistema de terceiros. Legal, tá tudo muitobom, tá tudo muito bonito, mas onde estão os proble­mas? O grande problema neste tipo de sistema é justa­mente a falta de uma comunidade abrangente. Querum motivo? A demanda destes sistemas geralmente éfocada na rapidez da entrega, quanto mais rápido umserviço for ao ar, melhor, mas e a segurança, onde fi­ca? Quando um sistema tem seu desenvolvimento fo­cado apenas na rapidez da entrega ao cliente,geralmente são esquecidas algumas etapas importan­tes no quesito segurança. O sistema "beta" não é testa­do em condições abusivas e na maioria dos casos,sobem com bugs que são facilmente explorados porexploits convencionais e consequentemente, causan­do transtorno a empresa que optou por utilizar um sis­tema ainda prematuro. Diariamente nós encontramos uma grande quanti­dade de graves falhas de segurança, algumas delas, in­clusive básicas, tais como scripts de gerenciamentode sistema/upload de arquivos sem autenticação, utili­zação de funções antigas e com falhas de segurançaconhecidas na programação dos scripts, senhas fá­ceis, senhas sendo armazenadas de forma inseguraem bancos de dados (quando estes são usados) ou emarquivos de texto plano acessíveis para a web. Escrito por Renê Barbosa Analista de Segurança Recomendamos a todos que utilizam este ramo de na HostDime Brasil.|56 Março 2012 • segurancadigital.info
  • 57. PARCEIRO Kryptus A Kryptus lança no mercado o» equipamento CompactHSMO CompactHSM é um Módulo de Segurança em Permite o uso em notebooks; Hardware (do inglês, “Hardware Security Modu­ Permite distribuição de carga e replicação; le”) de alto desempenho com interface USB, que APIs padrão de mercado PKCS11, CSP, JCA;oferece uma solução de baixo custo para aplicações de cer­ Proteção física avançada;tificação digital e criptografia em geral usualmente basea­ Permite uso em servidores virtualizados;das em tokens ou smartcards, ressaltando a total Compatível FIPS PUB 140­2, ICP­Brasil e PCI;compatibilidade em ambientes virtualizados. Desenvolvimento 100% nacional e arquitetura Os processos de certificação digital, tais como a 100% auditável;gestão eletrônica de documentos e a emissão de notas Permite customização sob demanda;fiscais eletrônicas, criaram uma demanda por disposi­ Gerador de números aleatórios (TRNG) e Relógiotivos criptográficos de alto desempenho, alta seguran­ de Tempo Real (RTC) em hardware;ça e baixo custo. Contudo, os dispositivos Custo altamente competitivo (consultas: conta­criptográficos disponíveis no mercado foram projeta­ to@kryptus.com).dos para suprir necessidades específicas de outros ti­pos de soluções, por exemplo, tokens e smartcardsresolvem problemas de identificação, enquantoHSMs comuns resolvem problemas de PKI e placasaceleradoras criptográficas resolvem problemas de co­nexões SSL. O CompactHSM foi criado para suprir a necessida­de específica de soluções de certificação digital quenecessitam de alto desempenho e segurança, mas quenão necessitam de funcionalidades avançadas de ge­rência de chaves. Sobre a Kryptus (http://www.kryptus.com/)Principais Características Empresa 100% brasileira, fundada em 2003 na ci­ O CompactHSM também é extremamente escalá­ dade de Campinas/SP, a Kryptus já desenvolveu umavel, permitindo a integração de mais de um equipa­ gama de soluções de hardware, firmware e softwaremento à solução, e garantindo a continuidade do para clientes Estatais e Privados variados, incluindonegócio através de mecanismos de backup por espe­ desde semicondutores até aplicações criptográficaslhamento e hot swap. O CompactHSM pode ser usa­ de alto desempenho, se estabelecendo como a líderdo, em integração a sistemas, para: brasileira em pesquisa, desenvolvimento e fabricação Proporcionar alto desempenho para assinatura e ci­ de hardware seguro para aplicações críticas.fração em quaisquer aplicações que utilizem APIs Os clientes Kryptus procuram soluções para pro­PKCS#11, CSP ou JCA; blemas onde um alto nível de segurança e o domínio Gerar e armazenar chaves de certificados ICP­Bra­ tecnológico são fatores fundamentais. No âmbito go­sil A1 ou A3;Proporcionar fácil esquema de bac­ vernamental, soluções Kryptus protegem sistemas,kup/recuperação e balanceamento de carga; dados e comunicações tão críticas como a Infraestru­ Cifração de comunicações / links seguros. tura de Chaves Públicas Brasileira (ICP­Brasil), a Urna Eletrônica Brasileira e Comunicações Governa­Principais Benefícios mentais. Alto desempenho (até 200 assinaturas RSA por se­gundo); Conectividade USB v2.0; Armazenamento seguro de chaves criptográficas; Permite instalação interna em servidores ou com­putadores desktop;|57 Março 2012 • segurancadigital.info
  • 58. COLUNA DO LEITOREMAILS,SUGESTÕES ECOMENTÁRIOSEsta seção foi criada para quepossamos compartilhar com você leitor,o que andam falando da gente por aí...Contribua para com este projeto:(contato@segurancadigital.info).Vítor (no Site) Marcos T. Silva (por E­ mail)Parabéns pela revista, eu que estou terminando a gra­ Boa noite!duação e pretendo seguir na área de segurança da in­ Procurando por sites de segurança encontrei o segu­formação, estou gostando demais, pois os artigos rança digital, então resolvi ler a primeira edição dasão sempre muito bons e bem feitos! revista. Acabei lendo as 4 edições. Quero parabeni­ zá­los pelo projeto e que continuem publicando vos­José Silva (no Site) sas experiências e assim nós leitores teremos bonsEstava estes dias a conversar com o Fábio (adm), e conteúdos sobre segurança. Em particular a partefalei que séria ótimo a inserção de tutoriais em edi­ forense foi ótima e muito explicativa.ções futuras e ainda neste email sugerir um tutorialsobre SSH e quando foi ontem recebi um email do Henrique Motta (por E­ mail)Fábio falando que já na 5ª edição séria publicado Primeiramente gostaria de parabenizá­los pelas edi­um artigo conforme meu pedido. Muito obrigado! ções anteriores e em especial a 3ª edição da revista "Segurança Digital". Como um profundo conhece­Data Security (no Twitter) dor na área da computação e interessado pela área@_SegDigital ­ Parabéns! Que venham os 32, 64, da segurança estou procurando me aperfeiçoar na128 mil downloads da Revista Segurança Digital! "arte" da segurança da informação realizando cursos e lendo materiais de fontes confiáveis (como vo­Findeis, A. (no Twitter) cês).@_SegDigital: muito bacana a revista. Equipe do Se­gurança Digital está de parabéns! Ótimas reporta­ Paulo (por E­ mail)gens! Equipe Segurança Digital, parabéns pelo trabalho de vocês. Sou um apaixonado por tecnologia, emYuri Diogenes (no Twitter) especial pela área de segurança. Passei a conhecerComeçando a escrever o artigo sobre #Segurança esta revista por um amigo que me indicou e reco­em Cloud Computing p/ a 5a. Edição da Revista mendou muito bem sua leitura, sucesso para vocês e@_SegDigital, obrigado @_SDinfo pelo convite ! mais uma vez parabéns pela iniciativa.Diego Ferreira Job (no Twitter)Agora seguindo a Revista @_SegDigital ­ Recomen­to galera!!!|58 Março 2012 • segurancadigital.info
  • 59. Segurança Digital 5ª Edição ­ Março de 2012www.segurancadigital.info @_SegDigital segurancadigital