Diego Macêdo

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: CompTIA Security+, EXIN EHF, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação, Ethical Hacking e Perícia Forense.

Segurança no armazenamento de dados

Uma das áreas problemáticas que surgiram ao longo dos últimos anos são os discos rígidos fisicamente pequenos, mas de grande capacidade de armazenamento. Especificamente, os que estamos preocupados aqui são os discos rígidos externos que usam USB ou FireWire para interagir com um sistema. A proliferação desses dispositivos é resultado de sua capacidade de mover grandes quantidades de dados em um formato fácil de transportar. Este é também o problema com os dispositivos: Eles carregam uma enorme quantidade de informações e podem ser facilmente transportados. A unidade de mídia externa normalmente não é maior do que um baralho ou uma carteira. Dispositivos USB na forma de unidades flash apresentam um problema ainda mais interessante e alarmante com seu pequeno fator de forma e capacidade de transportar grandes volumes de informações. Este formato permite o upload fácil de informações, como malware, que tem sido usado em muitos cybercrimes.

Problemas com USB

Discos rígidos externos foram perdidos ou roubados em várias ocasiões, comprometendo a segurança da empresa. Em alguns casos, unidades que foram compradas com a intenção de servir como um backup, eventualmente se tornou a área de armazenamento para a única cópia de dados. Devido à perda de tais backups, muitas empresas tiveram que reconstruir ou recuperar dados, o que resultou em grandes perdas financeiras, bem como perda de tempo e produtividade.

Apenas por razões de segurança, muitas organizações, como o Departamento de Defesa dos EUA, proibiram o uso desses dispositivos, tornando-se um crime passível de tê-los em algumas instalações.

Proteger um disco rígido portátil ou qualquer dispositivo de armazenamento pode ser mais fácil através da aplicação de tecnologia e procedimentos adequados. Uma das formas mais eficientes de proteger a confidencialidade e a integridade das informações nesses dispositivos é a criptografia.

Aplicar criptografia em todo um volume ou unidade fornece proteção robusta contra dados caindo nas mãos erradas. Com a disponibilidade cada vez maior de criptografia completa de unidade, vale a pena para cada empresa ou organização avaliar a necessidade e os benefícios da implementação deste tipo de proteção. Embora a criptografia completa da unidade não impede que uma unidade seja fisicamente roubada, mas evitará que os ladrões acessem as informações facilmente.

Questões legais com dados

A criptografia pode ser obrigatória por lei. Por exemplo, algumas agências dos EUA estão legalmente obrigadas a criptografar os discos rígidos que estão presentes nos laptops para se prevenir caso o dispositivo seja perdido ou roubado. Em 2006, o Departamento de Assuntos de Veteranos dos EUA (VA) perdeu um laptop que resultou no comprometimento de 26,5 milhões de registros de pacientes. As consequências deste incidente foram questões financeiras devido ao roubo de identidade de muitos dos pacientes afetados.

Atualmente existem inúmeras opções para implantar a criptografia de unidade. Entre as principais soluções estão:

  • PGP
  • Microsoft BitLocker
  • VeraCrypt
  • WinMagic
  • Instalação de chaves unificadas do Linux (LUKS)

Prós e contras da criptografia de unidade

A criptografia de unidade está se tornando uma opção cada vez mais comum em todos os tipos de dispositivos, desde laptops e dispositivos móveis até as unidades em algumas impressoras. Criptografia neste nível é muitas vezes necessária por razões legais, bem como de segurança, mas em muitos casos, você precisa considerar os impactos de desempenho.

Há sempre um preço a se pagar para obter algo em troca, e a criptografia não é diferente. Devido à complexidade do processo e às grandes quantidades de dados envolvidos, a penalidade no desempenho do sistema pode ser perceptível. Isso se torna uma preocupação maior com sistemas móveis onde o desempenho é um prêmio e a necessidade de criptografia é maior.

Como profissional, você terá que escolher qual é mais importante para você: desempenho ou segurança. Desempenho pode sofrer, mas a necessidade de segurança de dados pode ser de maior importância, bem como legalmente exigido.

Ao falar sobre discos rígidos, precisamos cobrir unidades flash também. Flash drives provaram ser uma bênção e uma maldição porque permitem o transporte de grandes quantidades de dados, mas ao mesmo tempo, eles são pequenos e facilmente perdidos. Para prevenir esse problema, as empresas precisam considerar a criptografia. Infelizmente, muitas das unidades comercialmente disponíveis não oferecem serviços de criptografia, e aqueles que tem são relativamente caros. No entanto, você deve pesar o custo contra quão perigoso e problemático seria se um desses dispositivos foi perdido e cair nas mãos erradas.

Esses dispositivos, especialmente flash drives, são extremamente portáteis e fáceis de ocultar, por isso representam um enorme risco de segurança. É fácil para um atacante transportar uma unidade flash em uma organização e conectá-la para roubar informações ou para executar um pedaço de malware. Para evitar isso em sua organização, você deve restringir o uso de unidades flash e discos rígidos portáteis, bem como considerar criptografia e políticas de uso para controlar ou barrar seu uso.

Além da criptografia para discos rígidos e armazenamento móvel, considere como impedir ações como dumpster diving das mídias descartadas. As empresas geram uma enorme quantidade de informações em CDs, DVDs e outros formatos, incluindo o disco flexível (embora raro). Desenvolver procedimentos para o armazenamento, manuseio e destruição adequada desses materiais. Na maioria dos casos, trituração ou métodos destrutivos semelhantes podem ser utilizados antes da eliminação, a fim de manter as informações fora das mãos dos ladrões. A Gestão também deve ditar como cada uma dessas formas aprovadas de armazenamento podem ser manipuladas e destruídas.

Alguns dos métodos utilizados para o saneamento são os seguintes:

  • Drive Wiping é o ato de substituir todas as informações na unidade. Como um Exemplo, DoD.5200.28-STD especifica sobrescrever a unidade com um padrão digital especial através de sete passagens. A limpeza da unidade permite que a unidade seja reutilizada;
  • Zeroization este processo geralmente é associado com processos criptográficos. O termo foi originalmente usado com dispositivos criptográficos mecânicos. Esses dispositivos seriam redefinidos para 0 para impedir que qualquer pessoa recuperasse a chave. No domínio eletrônico, a zeroization envolve a sobregravação dos dados com zeros. Zeroization é definida como um padrão em ANSI X9.17.
  • Desmagnetização  é o processo usado para destruir permanentemente o conteúdo do disco rígido ou meios magnéticos. Desmagnetização funciona por meio de um poderoso ímã que usa seu campo de força para penetrar na mídia e reverter a polaridade das partículas magnéticas na fita ou nas travessas do disco rígido. Depois que a mídia foi desmagnetizada, ela não pode ser reutilizada. O único método mais seguro do que desmagnetizar é a destruição física.

Desmagnetizador

Em alguns casos, as opções listadas aqui podem não ser algo que você pode usar porque a mídia pode conter informações que exigem a destruição física da mídia. Isto pode ser verdade no caso de discos rígidos, onde a destruição física do dispositivo pode ser necessária, até derreter o dispositivo.

Os problemas com unidades de estado sólido

Nos últimos anos, discos rígidos tradicionais (os que têm discos giratórios no interior) foram cada vez mais substituídos em favor dos discos de estado sólido (SSDs). Essas unidades oferecem maior velocidade, melhor desempenho, menor consumo de energia e outros benefícios, mas não podem ser apagadas da mesma maneira. Os métodos de saneamento que são usados atualmente para limpar, substituir ou zeroizar discos rígidos tradicionais não funcionam em mecanismos SSD.

Em teoria, alguns dos métodos usados para drives tradicionais devem funcionar, mas eles tendem a ser questionável. Por exemplo, substituindo uma unidade com uns e zeros algumas vezes soa como uma boa maneira de eliminar restos, mas mesmo se tudo é substituído ainda há chips na unidade que poderia conter dados. Alguns fornecedores têm rotinas em suas unidades que são supostamente para limpar as unidades, mas essas rotinas são frequentemente implementadas incorretamente. Ainda outras unidades oferecem recursos para proteger a unidade, descartando chaves de criptografia, mas isso nem sempre é uma eliminação completa. Finalmente, nenhum dos métodos atuais para limpar drives pode reivindicar ser totalmente eficaz para sanitizar dispositivos SSD.

Se você tem esses dispositivos em seu ambiente, você pode ter que recorrer a trituração, esmagamento, derretimento, ou até a moagem da unidade para garantir que os dados sensíveis dele não caiam nas mãos erradas.

Sugestões de livros:

Introdução à Segurança Física

Falar de segurança física, em muitos casos, são a fronteira protetora primária para ativos pessoais no mundo real. Segurança física envolve a proteção de tais ativos como pessoal, hardware, aplicativos, dados e instalações contra incêndio, desastres naturais, furto, roubo e de insider.

O problema com a segurança física é que ele pode ser facilmente ignorado por questões técnicas mais divulgadas. No entanto, as empresas o fazem por sua própria conta e risco, uma vez que os ataques não técnicos podem ser realizados com pouco ou nenhum conhecimento técnico.

Controles simples

Vários controles podem ser usados para proteger e preservar a segurança física de uma organização. Em muitos casos, apenas a presença visível de controles é suficiente para parar um ataque.

Um dos controles mais básicos que podem proteger a interação física com um dispositivo, sistema ou instalação é o uso de senhas. As senhas podem proteger um sistema de ser fisicamente acessado ou de ser usado para acessar uma rede. (mais…)

Técnicas de evasão do firewall

Vimos o que um firewall é capaz de fazer e os diferentes tipos que existem. Então, como um invasor pode evadir desses dispositivos? Existem algumas técnicas disponíveis para isto.

Spoofing de endereço IP

Uma maneira eficaz como um invasor pode evadir um firewall deve parecer como algo mais, como um host confiável. Usando o spoofing para modificar informações de endereço, o atacante pode fazer com que a fonte de um ataque pareça vir de algum lugar que não seja uma parte mal-intencionada.

Embora este ataque pode ser eficaz, existem algumas limitações que podem frustrar este processo. O mais óbvio é o fato de que firewalls mais do que provavelmente irão dar drop no tráfego. Especificamente, um host confiável pode ser algo dentro da própria rede. Qualquer tipo de pacote especialmente criado a partir de um intervalo de endereços IP na rede local, mas vindo de fora da rede, será descartado como inválido. (mais…)

Técnicas de evasão de IDS

Uma vez que você, como um pentester, está tentando testar a segurança de um sistema, você deve ser capaz de contornar esses dispositivos de proteção, se possível ou pelo menos saber como tentar fazê-lo. Veremos os vários mecanismos disponíveis, como eles funcionam e com quais dispositivos eles são projetados para lidar. (mais…)

Honeypots

Um dos sistemas mais interessantes que você vai encontrar é um honeypot. Na verdade é um dispositivo ou sistema usado para atrair e capturar atacantes que estão tentando obter acesso a um sistema. No entanto, honeypots estão longe de ser apenas uma armadilha. Eles também têm sido usados como ferramentas de pesquisa, armadilhas, e apenas para obter informações. Eles não são projetados para resolver qualquer problema de segurança específico.

Honeypots não se encaixam em qualquer classificação ou categoria. Honeypots pode cumprir uma série de finalidades diferentes ou funções para uma organização, mas a maioria concorda que um honeypot fornece valor de ser utilizado por partes não autorizadas ou através do uso ilícito. Honeypots são projetados para ser mal utilizado e abusado e nesse papel eles estão sozinhos. Na prática, o sistema pode aparecer como qualquer um dos seguintes:

  • Um servidor dedicado
  • Um sistema simulado de algum tipo
  • Um serviço em um host projetado para parecer legítimo
  • Um servidor virtual
  • Um único arquivo

(mais…)

Identificando o firewall

Para determinar um tipo de firewall e até mesmo o fabricante, você pode usar sua experiência com scanner de portas e ferramentas para criar informações sobre o firewall que seu alvo está executando. Ao identificar determinadas portas, você pode vincular os resultados a um firewall específico e, a partir desse ponto, determinar o tipo de ataque ou processo a ser executado para comprometer ou ignorar o dispositivo.

Alguns firewalls como o Check Point FireWall-1 e o Microsoft Proxy Server usam as portas TCP 256-259 e TCP 1080 e 1745.

Felizmente, você pode realizar o banner grabbing com Telnet para identificar o serviço em execução em uma porta. Se você encontrar um firewall com portas específicas em execução, isso pode ajudar na identificação. É possível pegar o banner e ver o que é respondido de volta. (mais…)

Firewalls

Os firewalls são outro dispositivo protetores para redes que estarão no caminho de um pentester ou atacante. Os firewalls representam uma barreira ou delineamento lógico entre duas zonas ou áreas de confiança. Em sua forma mais simples, a implementação de um firewall representa a barreira entre uma rede privada e uma rede pública, mas as coisas podem ficar muito mais complicadas a partir daí.

Para a maior parte, nós nos referimos a firewalls como um conceito abstrato, mas na vida real um firewall pode ser um software ou um dispositivo de hardware.

Ao discutir firewalls, é importante entender como eles funcionam e sua colocação em uma rede. Um firewall é um conjunto de programas e serviços localizados no ponto de bloqueio, conhecido por choke point (o local onde o tráfego entra e sai da rede). Ele foi projetado para filtrar todo o tráfego fluindo para dentro e para fora e determinar se esse tráfego deve ser autorizado a continuar. Em muitos casos, o firewall é colocado a uma distância de recursos importantes para que, no caso de comprometer recursos-chave não são afetados negativamente. Se você tomar cuidado o suficiente e fazer o planejamento adequado, juntamente com uma dose saudável de testes, apenas o tráfego que é explicitamente permitido passar será capaz de fazê-lo, com todos os outros tráfego será negado no firewall. (mais…)

O papel dos Intrusion Detection Systems (IDS)

Um sistema de detecção de intrusão (IDS) é um aplicativo ou dispositivo usado para coletar e analisar informações que passam por uma rede ou host. Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host.

Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

Aqui estão algumas coisas para se manter em mente à medida que avançamos. Um IDS:

  • Foi concebido para detectar comportamentos maliciosos ou não-padrão;
  • Reúne informações de uma rede para detectar violações da política de segurança;
  • Relata violações e desvios a um administrador ou proprietário de sistema;

Um IDS de rede (NIDS) é um sniffer de pacotes. A diferença entre um sniffer de pacotes e um NIDS é que um NIDS inclui um mecanismo de regras, que compara o tráfego contra um conjunto de regras que determinam a diferença entre tráfego e atividades legítimas e maliciosas. (mais…)

Teste de invasão com dispositivos móveis

De muitas maneiras o processo é semelhante ao de um ambiente tradicional, mas com algumas pequenas diferenças ao longo do caminho.

Lembre-se que em matéria de segurança, os dispositivos móveis são tão diversos que são de uma quantidade desconhecida. Você também precisa ter em mente como os usuários desses dispositivos funcionam. Eles podem ser extremamente móveis e isso significa que os dados e comunicações podem estar fluindo em todas as direções e maneiras diferentes, ao contrário das configurações de escritório tradicional.

Então, como é o processo de teste quando os dispositivos móveis? Aqui está uma visão geral de como avaliar esses dispositivos. (mais…)

Problemas comuns com dispositivos móveis

Os dispositivos móveis são comuns. No entanto, um monte de problemas comuns também ocorrem que poderiam ser maneiras fáceis para um atacante causar danos:

  • Um dos problemas mais comuns com dispositivos móveis é que muitas vezes eles não têm senhas definidas, ou as senhas são incrivelmente fracas. Enquanto alguns dispositivos oferecem sistemas biométricos simples de usar e eficazes para autenticação em vez de senhas, eles estão longe de ser um padrão. Embora a maioria dos dispositivos suporte senhas, códigos PIN e autenticação baseada em gestos, muitas pessoas não usam esses mecanismos, o que significa que se o dispositivo for perdido ou roubado, seus dados podem ser facilmente acessados.
  • Conexões sem fio desprotegidas também são um problema conhecido em muitos dispositivos e parecem ser piores em dispositivos móveis. Isso é mais do que provável, devido aos proprietários desses dispositivos estarem fora e em busca de  um ponto de acesso aberto e conectar sem levar em conta se ele está protegido ou não.
  • Problemas de malware parecem ser mais um problema com dispositivos móveis do que com outros dispositivos. Isto é devido aos proprietários que transferem apps do Internet com pouca preocupação que podem conter o malware e não ter um scanner antimalware no dispositivo.
  • Os usuários negligenciam a instalação de software de segurança em dispositivos móveis, mesmo que esse software esteja prontamente disponível nos principais fornecedores sem restrições e seja gratuito. Muitos proprietários desses dispositivos podem até acreditar que o malware não existe para dispositivos móveis ou que eles são imunes.
  • Softwares descontinuados e desatualizados do sistema operacional é um grande problema. Da mesma forma que os sistemas de desktop, patches e correções para software de SO móvel também são liberados de vez em quando. Esses patches podem não ser aplicados por uma série de razões. Quando isso acontece, os patches e atualizações que o Google lança podem não funcionar nas versões alteradas pelas operadoras. Nesse caso, você precisaria aguardar que sua operadora faça alguma atualização para seu dispositivo antes de poder aplicar o patch. Este processo pode levar meses ou mesmo um ano e em alguns casos nunca.
  • Muito parecido com o sistema operacional, pode haver software no dispositivo que não está corrigido e está desatualizado.
  • Conexões com a Internet podem estar ligadas e inseguras, o que pode levar alguém a entrar no sistema da mesma maneira que uma invasão outra sistema.
  • Os dispositivos móveis podem estar enraizados ou jailbroken, o que significa que se esse dispositivo estiver conectado à sua rede, pode ser uma maneira fácil de introduzir malware em seu ambiente.
  • A fragmentação é comum em dispositivos Android. Especificamente, isso se refere ao fato de que, ao contrário do iOS, há um grande número de versões do sistema operacional Android com diferentes recursos, interfaces e muito mais. Isso pode levar a problemas de suporte para a empresa devido à quantidade de variação e inconsistência.

(mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!