Tipos de incidente de segurança da informação

As ameaças colocam em risco os ativos de informação. Em geral, essas ameaças seguem determinados padrões de comportamento ou de método de exploração das vulnerabilidades desses ativos.

Os vírus surgiram há 27 anos e agora possuem variantes (worms, zumbis, spywares e outros tipos de código que se convencionou chamar de “malware” ou “códigos maliciosos”).

Provavelmente, a desinformação dos usuários e a alta taxa de “conectividade”, seja através do computador convencional ou de unidades móveis, usando sinais de rádio (wi-fi, bluetooth, celulares, tablets), são os maiores responsáveis pela multiplicação dos incidentes de segurança. O gráfico seguinte mostra o número de ocorrências reportadas no Brasil nos últimos dez anos.

Já o diagrama presente na sequência mostra os principais formatos de utilização ilícita da informação:

  • interrupção do fluxo;
  • interceptação;
  • modificação;
  • fabricação da informação.

Ferramentas de proteção, prevenção e detecção de intrusão

Neste tópico, apresentamos os firewalls e os sistemas de prevenção e detecção de intrusão.

Os firewalls são uma parte muito importante na segurança das redes de informação. Podemos dividir a técnica em dois grupos: os filtros de pacotes e os filtros de conteúdo.

No primeiro grupo, encontramos os dispositivos que analisam as PDUs, sem abrir os conteúdos. São mais antigos, mas ainda, sem dúvida, são os mecanismos mais utilizados para proteção das redes.

Nos filtros de conteúdo, no segundo dos grupos mencionados aqui anteriormente, temos os proxies, dispositivos que servem como intérpretes na comunicação entre a Internet e uma rede local.

Importante: Os firewalls podem executar ainda uma terceira tarefa fundamental para a segurança das redes, que é a conversão de endereços de redes (NAT – Network Address Translator), que também é chamada de mascaramento de IP. Assim, é necessário que você reveja esse dispositivo sempre que tratamos de segurança da informação.

Para executar essas três tarefas, o firewall deve ficar entre a Internet e a rede local (Figura 2, apresentada na sequência). Todo o tráfego que chega ou sai da rede deve passar pelo firewall, datagrama por datagrama. Os pacotes (datagramas, na linguagem correta das PDUs) são analisados e comparados com as regras de acesso (ACLs ou Access Control Lists). Caso exista uma regra permitindo a passagem, o datagrama poderá passar. Caso não exista regra permitindo, é negada a passagem do datagrama.

O que um firewall pode e o que ele não pode fazer

Um firewall é um mecanismo muito efetivo no controle dos datagramas, mas ele não é a proteção total da rede. Você não pode pensar que está seguro só  porque implantou corretamente um tal dispositivo.

Um firewal pode:

  • Tornar-se o centro das decisões de segurança: como todos os pacotes, supostamente, passam através do firewall, ele pode concentrar as decisões sobre o que pode entrar ou sair da rede.
  • Forçar as políticas de segurança: a maior parte dos serviços solicitados na Internet é inseguro. Você pode pensar no firewall como o policial no portão de entrada: ele só permite o uso dos serviços aprovados pela política de segurança da corporação.
  • Registrar as atividades de Internet com eficiência: uma vez que todo tráfego passa pelo firewall, ele pode ser registrado em arquivos de log (registro).
  • Limitar a exposição da rede interna: esse ponto é particularmente relevante quando o firewall está posicionado entre duas ou mais redes dentro da corporação. Nesse caso, ele pode evitar que uma rede invadida comprometa as demais.

Um firewall não pode:

  • Proteger contra usuários internos: sabe-se que estes são responsáveis pela maioria dos ataques e, realmente, o firewall não pode fazer nada contra esses indivíduos.
  • Proteger contra conexões que não passem através dele: como o firewall necessita examinar os cabeçalhos dos datagramas, não têm nenhuma ação nos datagramas que cegam ou saem da rede através de outras conexões, como linhas discadas, acessos ADSL ou outro tipo de enlace que o usuário possa estar utilizando.
  • Proteger contra riscos novos: um firewall, mesmo bem configurado, pode não ter ação alguma contra novos tipos de ataques. Por isso, o administrador deve sempre estar atento às novidades e atualizar os sistemas e as regras.
  • Proteger completamente contra vírus: mesmo que alguns firewalls possam praticar varreduras contra vírus, ele não oferece proteção plena.
  • Outros softwares auxiliares precisam ser instalados em conjunto para garantir proteção contra a entrada dos “bichinhos”.
  • Configurar-se e ativar-se por conta própria: todos os firewalls exigem um certo volume de configuração, uma vez que cada rede possui suas particularidades. Você não pode simplesmente acionar o firewall e pensar que então tudo está seguro.

Classificação dos firewalls

Além da divisão simples entre filtros de pacotes e de aplicações (conteúdos), podemos ter os filtros de pacotes divididos em estáticos e dinâmicos (ou com estados, do inglês statefull) – Figura 3.

Filtros de pacotes (datagramas) do tipo estático

Os filtros de pacote estáticos (também denominados sem estado ou stateless) avaliam os pacotes baseados na informação do cabeçalho do IP e nas portas do nível 4. Essa é uma forma rápida de regular o tráfego, mas peca pela simplicidade.

É um filtro simples porque ignora outras informações dos cabeçalhos, como o estado da conexão do TCP (início, finalização, estágios do 3-way handshake), tampouco avalia os conteúdos. Exemplo de firewall estático é o IPChains,  utilizado há algum tempo, mas já superado pelos filtros dinâmicos.

Filtros de pacotes do tipo dinâmicos (ou de estados – statefull)

Esse tipo de filtro é o mais usado atualmente, pois podemos permitir a entrada de pacotes externos se foram solicitados por aplicações válidas de dentro da rede interna (Figura 5, presente na sequência).

O termo dinâmico ou de estado se refere ao acompanhamento das conexões TCP começando com o “three-way handshake” (SYN, SYN/ACK, ACK), que ocorre no início de cada transação TCP e termina com o último pacote de cada sessão (FIN ou RST).

Exemplos desses firewalls são o IPTables, PIX firewall (Cisco), NetScreen  (Juniper), SonicWall.

Filtros do tipo proxy (filtros de conteúdo ou da camada de aplicação)

Um proxying firewall atua como intermediário em todas as transações que passam através dele, ao contrário dos filtros stateless e dos statefull packet-filters, os quais inspecionam, mas não alteram os pacotes (exceto em alguns casos para reendereçamento ou redirecionamento).

Perceba que nesse tipo de dispositivo, o cliente nunca troca informações diretamente com o servidor, como acontecia com os filtros anteriores (ver figura 6). O firewall recebe um pacote, examina o conteúdo e se o pacote passa pelas regras, envia outro pacote (2) ao destinatário interno. Ao receber a resposta do servidor interno (pacote 3), o proxy examina novamente, e se as regras permitirem, envia um novo pacote com a resposta (pacote 4).

O Sistema de Detecção de Intrusão (IDS) e Sistema de Prevenção de Intrusão (IPS)

Para conter ameaças à informação, vários fabricantes projetaram produtos comerciais para o mercado, como os firewalls vistos anteriormente, sistemas de criptografia, autenticações, assinaturas digitais e controles de acesso. Estes produtos, embora possibilitem segurança em uma certa medida, possuem limitações as quais permitem que um intruso possa burlar as técnicas. Ameaças complexas a sistemas de segurança requerem contramedidas complexas. Assim, existe uma necessidade clara de uma tecnologia de segurança complementar, que possa:

  • de forma inteligente, monitorar a rede para ocorrências de intrusão em tempo real;
  • ser reconfigurada rapidamente e dinamicamente, em resposta a eventos de intrusão;
  • responder a intrusões através de uma variedade de customizações pelo próprio usuário.

Essa tecnologia é o Sistema de detecção de Intrusão (IDS) e Sistema de Prevenção de Intrusão(IPS).

Enquanto a detecção de intrusão baseia-se em análise de dados que já representam um evento intrusivo, os IPS buscam evitar que a intrusão de fato ocorra.

Detecção de intrusão é um conjunto de técnicas e métodos que são usados para
detectar atividades suspeitas. Tais atividades podem ser nos hosts ou nas  redes. A abordagem para cada uma gera dois tipos de IDS: NIDS e HIDS.

Os IDS podem ser classificados ainda segundo o método usado para detectar as
atividades: por assinatura ou por anomalias.

Invasores possuem assinaturas da mesma forma que um vírus, as quais podem ser detectadas utilizando-se ferramentas de detecção. Você tenta encontrar, com essas ferramentas, pacotes de dados os quais contêm qualquer assinatura relacionada a uma intrusão ou anomalias relacionadas com os protocolos de Internet. Baseado nesse conjunto de assinaturas e outro conjunto de regras, o sistema é capaz de encontrar e registrar atividade suspeita, podendo então gerar alertas ou disparar rotinas de prevenção ou de bloqueio da atividade, reagindo automaticamente.

Os sistemas baseados em anomalias normalmente dependem de anormalidades
presentes nos cabeçalhos dos pacotes dos protocolos de rede.

Tipos de ataques

Na sequência, são apresentados os incidentes que atualmente são os mais
comuns.

Phishing

São os golpes aplicados via email. Existe uma alta probabilidade do usuário em
acreditar nas mensagens, seus links e arquivos anexados. Os emails falsos chegam cada vez mais próximos dos verdadeiros. São bem construídos, abordando temas atuais e explorando as fraquezas naturais do ser humano.

Roubo de identidade

Com o aumento das interfaces de comunicação e das redes sociais on-line (Twitter, Orkut, Facebook, Myspace, Flickcr) e com a necessidade e/ou ingenuidade do usuário em expor detalhes de sua vida privada possibilitam o ataque conhecido como “roubo de identidade”, com a obtenção não autorizada ou a simples adivinhação de senhas de acesso e chaves de identificação.

Vírus em PCs, smartphones, PADs e tablets

Os códigos maliciosos crescem e tornam-se cada vez mais especializados. A
exploração de vulnerabilidades se dá com auxílio dos próprios usuários. Os dispositivos móveis também começam a ser alvo de ataques, tanto de negação de serviço quanto de destruição de dados.

A elaboração de uma política para uso de antivírus é uma medida necessária para
minimizar os riscos de incidentes dessa natureza. Tal política pode ser idealizada
de diferentes maneiras, a começar pela abordagem: você vai utilizar um sistema
de proteção com filtros na rede ou os sistemas serão individuais, instalados em
cada dispositivo que venha a conectar-se à rede?

As políticas serão escritas em forma de normas de conduta, similar a uma “lei
interna” ou com um viés de “melhores práticas”. Se a empresa opta por políticas mais brandas e a estratégia é proteção individual, uma declaração adequada
poderia ser:

“Todos os recursos computacionais de usuários devem
ter software de proteção antivírus instalados antes de
acessar os recursos da rede corporativa. Os usuários
devem atuar na manutenção e atualização dessa proteção.
Os usuários não devem desabilitar as funcionalidades.
Se o software de antivírus for desabilitado por alguma
razão, como, por exemplo, a instalação de uma nova
aplicação, o usuário deve se responsabilizar pela
execução de uma varredura completa do sistema antes
de iniciar o uso de recursos do sistema novamente.”

DOS e DDOS

Denial of service – DOS (Negação de serviço)

Um ataque de negação de serviço é caracterizado por uma tentativa explícita de interromper os serviços que algum usuário legítimo esteja tentando utilizar. Exemplos:

  • Tentativa de inundar a rede, impedindo o tráfego legítimo.
  • Tentativa de interromper a conectividade entre duas máquinas, impedindo o acesso ao serviço.
  • Tentativa de romper o service especificamente de um sistema, por exemplo, o servidor Web.

Ataques distribuídos de negação de serviço (DDOS)

Os ataques distribuídos de negação de serviço (DDOS ou Distributed Denial of
Service) são poderosos e bastante estudados.

Saiba mais…. Veja mais sobre esse assunto no endereço disponível em: http://staff.washington.edu/dittrich/misc/ddos/

Nessa situação, os atacantes invadem várias máquinas e, a partir delas, executam o ataque a uma rede ou a um serviço específico, aumentando em muito o poder de destruição.

Os atacantes iniciam criando uma rede de computadores zumbis, que irão
funcionar como seu ”exército” de ataque.

Conceito

Um zumbi é um computador que foi invadido sem que a vítima tenha
suspeita do fato. A máquina passa a ser utilizada para atividades ilegais.

Essa rede de zumbis é acionada para conectar computadores “inocentes”, denominados refletores. Quando os refletores recebem as solicitações, percebem
que elas partiram não dos zumbis, mas do sistema-alvo. Quase sempre o desempenho da vítima cai drasticamente ou mesmo interrompe toda  comunicação, sendo inundado por múltiplas respostas não solicitadas, de forma simultânea.

Do ponto de vista da vítima, quem realizou o ataque foram os refletores. Do ponto de vista dos refletores, a vítima é que requisitou os pacotes. Os zumbis
permanecem escondidos.

Veja o caso do ataque a computadores da Coreia do Sul e dos EUA no seguinte
endereço, disponível em: <http://blog.bkis.com/en/korea-and-us-ddos-attacksthe-attacking-source-located-in-unitedkingdom/>.

Sites famosos já foram vítimas desse tipo de ataque: Microsoft, Amazon, CNN, Yahoo e eBay.

Alguns nomes para os ataques DDoS:

  • Mailbomb: zumbis enviam quantidades massivas de emails, interrompendo os servidores de email;
  • Smurf Attack: zumbis enviam pacotes Internet Control Message Protocol (ICMP) para os refletores;
  • Teardrop: zumbis enviam pedaços de pacotes ilegítimos. A vítima tenta combinar as peças em um pacote válido e acaba “travando”.

SPAM

SPAM são correspondências eletrônicas não autorizadas. Continuam crescendo, consomem tempo, links de Internet, o poder de processamento dos computadores, espaços em discos e caixas de email. Os spams estão sempre testando os mecanismos de filtragem e podem ser associados a phishing e vírus.

Ataques pelos dispositivos móveis (celular, PADs, agendas, tablets)

Alguns destes dispositivos podem ser usados para autenticações e realização de
pagamentos. As invasões podem ter objetivos de desvio de recursos, roubo de
identidade ou perda de informações. Mensagens estranhas solicitando comandos
e ações podem ser consideradas como SPAM de SMS.

Ataques wi-fi e bluetooth

As redes sem fio wi-fi e bluetooth com acesso à Internet se popularizaram em 2007 e podem ser encontradas em toda parte, muitas vezes, sem a proteção mínima. O alto nível de conectividade oferecido pelos dispositivos móveis, principalmente em locais públicos, podem funcionar como um playground para golpistas que procuram equipamentos desprotegidos, simplesmente para infiltrar um vírus ou, ainda, procurar dados sigilosos e senhas que trafegam neste ambiente. Além disso, mensagens indesejadas, simples propagandas ou a transferência não autorizada de dados podem ocorrer.

Cavalos de Troia – Keylogger Trojans

Os cavalos de Troia são códigos maliciosos que, quando executados, possuem um comportamento inesperado, como a instalação de softwares que podem causar danos ou gerar logs de atividades, especialmente com capacidade de registrar sem autorização e silenciosamente tudo que é digitado no teclado.
Com o aumento dos links de comunicação e a popularização dos pacotes
domésticos de broadband (“banda larga”), as potenciais vítimas tornam-se
disponíveis por mais tempo ao longo do dia, dando, assim, ainda mais tempo para
os golpistas estudarem o alvo, penetrar e monitorar.

Rootkits

Os rootkits são softwares de fácil utilização e com poder de destruição
relativamente alto. Essas ferramentas são disponibilizadas livremente em sites e
grupos de discussão na Internet e enviados aos computadores das vítimas.
Chegam, portanto, vindo de múltiplas origens, seja uma simples atualização
automática de rotina do sistema operacional, seja um email com arquivo anexado
ou ainda um pacote de atualização de um dos inúmeros softwares instalados.
Fica, portanto, difícil distinguir o que é legítimo, levando o usuário a autorizar o
download, a instalação e até mesmo a liberação do pacote através da alteração na regra do firewall.

Referências

GREGORY, P. IT disaster recovery planning for dummies. New Jersey: Wiley Publishing,
Inc., 2008.
Hackers Bay. What is ddos attack and how does it work? 2011. Disponível em: <http://www.
hackersbay.in/2011/01/what-is-ddos-attack-and-how-does-it.html>. Acesso em: 10 de Out. de 2011.
JACKSON, C. B. The role of continuity planning in the enterprise risk management structure.
In: TIPTON, H.; KRAUSE, M. Information security management handbook. 6. ed. Auerbach
Publications, 2007. p. 1591.
NORTHCUTT, Stephen et al. Snort 2.1 intrusion detection. 2. ed. Syngress Publishing, 2004.
NORTHCUTT, Stephen; NOVAK, Judy. Network intrusion detection: an analyst’s handbook.
2005,
SCARFONE, K.; GRANCE, T.; MASONE, K. Computer security incident handling guide. Special
Publication 800-61 Revision 1 – National Institute of Standards and Technology. 2008.
STALLINGS, W. Network security essentials. 4. ed. S. l. Pearson Education, 2007.
WALLACE, M.; WEBBER, L. The disaster recovery handbook: a step-by-step plan to ensure
business continuity and protect vital operations, facilities and assets. AMACOM – American
Management Association. 2004.
ZAPATER, M.; SUZUKI, R. Segurança da informação: um diferencial determinante na
competitividade das corporações. Promon Business & Technology Review.
ZWICKY, Elizabeth D.; COOPER, Simon; CHAPMAN, D. Brent. Building internet firewalls. 2.
ed. 2000.

Autor: Fernando Cerutti

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *