Segurança e Auditoria de
Sistemas
Prof. Fabiano Sabha
Datas

Provas
•
•
•
•

1º bimestre (P1) – 08/04
2º bimestre (P2) – 10/06
Substitutiva – 17/06
Exame – 24/06
Trabalhos
• Apresentação (5 grupos - 30 minutos) – 25/03
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
2
Ameaças em Seguranças de
Sistemas
Prof. Fabiano Sabha
Continuação
Códigos Maliciosos
Vírus
 Cavalo de Tróia
 Adware e Spyware
 Backdoors
 Keyloggers
 Worms
 Bots e Botnets
 Rootkits

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
4
Vírus
Vírus é um programa ou parte de um
programa de computador, normalmente
malicioso, que se propaga infectando, isto é,
inserindo cópias de si mesmo e se tornando
parte de outros programas e arquivos de um
computador. O vírus depende da execução do
programa ou arquivo hospedeiro para que
possa se tornar ativo e dar continuidade ao
processo de infecção.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
5
Cavalo de Tróia
Na informática, um cavalo de tróia é um
programa,
normalmente
recebido
um de
Conta
a mitologia
grega
que ocomo
"Cavalo
"presente"
(porgrande
exemplo,
cartão utilizada
virtual, álbum
Tróia"
foi uma
estátua,
como
de fotos, protetor
de tela, jogo,
que além
instrumento
de guerra
pelosetc),
gregos
para
de executar
as quais foi
obter
acesso funções
a cidadepara
de Tróia.
aparentemente projetado, também executa
outras funções normalmente maliciosas e sem
o conhecimento do usuário.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
6
Cavalo de Tróia
Algumas das funções maliciosas que podem
ser executadas por um cavalo de tróia são:

Instalação de keyloggers ou screenloggers

Furto de senhas e outras informações
sensíveis, como números de cartões de crédito;

Inclusão de backdoors, para permitir que um
atacante tenha total controle sobre o computador;

Alteração ou destruição de arquivos.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
7
Cavalo de Tróia
Por definição, o cavalo de tróia distingue-se
de um vírus ou de um worm por não infectar
outros arquivos, nem propagar cópias de si
mesmo automaticamente.
Normalmente um cavalo de tróia consiste em
um único arquivo que necessita ser
explicitamente executado.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
8
Adware e Spyware
Adware é um tipo de software especificamente
projetado para apresentar propagandas, seja
através de um browser, seja através de algum
outro programa instalado em um computador.
Spyware, por sua vez, é o termo utilizado para se
referir a uma grande categoria de software que
tem o objetivo de monitorar atividades de um
sistema e enviar as informações coletadas para
terceiros.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
9
Adware e Spayware
Adware é um tipo de software especificamente
projetado para apresentar propagandas, seja
através de um browser, seja através de algum
outro programa instalado em um computador.
Spyware, por sua vez, é o termo utilizado para se
referir a uma grande categoria de software que
tem o objetivo de monitorar atividades de um
sistema e enviar as informações coletadas para
terceiros.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
10
Atividades do Spyware
 Monitoramento de URLs;
 Alteração da página inicial;
 Varredura dos arquivos armazenados;
 Monitoramento e captura de informações;
 Instalação de outros programas spyware;
 Monitoramento de teclas digitadas;
 Captura de senhas bancárias e cartões;
 Captura de outras senhas;
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
11
Backdoors
A forma usual de inclusão de um backdoor consiste na
disponibilização de um novo serviço ou substituição de
um determinado serviço por uma versão alterada,
normalmente possuindo recursos que permitam acesso
remoto (através da Internet). Pode ser incluído por um
invasor ou através de um cavalo de tróia.
Uma outra forma é a instalação de pacotes de software,
tais como o BackOrifice e NetBus, da plataforma
Windows, utilizados para administração remota. Se mal
configurados ou utilizados sem o consentimento do
usuário, podem ser classificados como backdoors.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
12
Backdoors
A forma usual de inclusão de um backdoor consiste na
disponibilização de um novo serviço ou substituição de
um determinado serviço por uma versão alterada,
normalmente possuindo recursos que permitam acesso
remoto (através da Internet). Pode ser incluído por um
invasor ou através de um cavalo de tróia.
Uma outra forma é a instalação de pacotes de software,
tais como o BackOrifice e NetBus, da plataforma
Windows, utilizados para administração remota. Se mal
configurados ou utilizados sem o consentimento do
usuário, podem ser classificados como backdoors.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
13
Keyloggers
Keylogger é um programa capaz de capturar e
armazenar as teclas digitadas pelo usuário no teclado de
um computador.
Normalmente, o keylogger vem como parte de um
programa spyware ou cavalo de tróia.
Desta forma, é necessário que este programa seja
executado para que o keylogger se instale em um
computador. Geralmente, tais programas vêm anexados a
e-mails ou estão disponíveis em sites na Internet.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
14
Worms
Worm é um programa capaz de se propagar
automaticamente através de redes, enviando cópias de si
mesmo de computador para computador.
Diferente do vírus, o worm não embute cópias de si
mesmo em outros programas ou arquivos e não necessita
ser explicitamente executado para se propagar.
Sua propagação se dá através da exploração de
vulnerabilidades existentes ou falhas na configuração de
softwares instalados em computadores.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
15
Bots e Botnets
De modo similar ao worm, o bot é um programa
capaz se propagar automaticamente, explorando
vulnerabilidades
existentes ou falhas na
configuração de softwares instalados em um
computador. Adicionalmente ao worm, dispõe de
mecanismos de comunicação com o invasor,
permitindo
que
o
bot
seja
controlado
remotamente.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
16
Bots e Bootnets
De que modo o invasor se comunica com o Bot?
Normalmente, o bot se conecta a um servidor de IRC e
entra em um canal determinado. Então, ele aguarda por
instruções do invasor, monitorando as mensagens que
estão sendo enviadas para este canal. O invasor, ao se
conectar ao mesmo servidor de IRC e entrar no mesmo
canal, envia mensagens compostas por seqüências
especiais de caracteres, que são interpretadas pelo bot.
Estas seqüências de caracteres correspondem a
instruções que devem ser executadas pelo bot.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
17
Bots e Bootnets
O que são botnets?
Botnets são redes formadas por computadores infectados
com bots. Estas redes podem ser compostas por centenas
ou milhares de computadores. Um invasor que tenha
controle sobre uma botnet pode utilizá-la para aumentar a
potência de seus ataques, por exemplo, para enviar
centenas de milhares de e-mails de phishing ou spam,
desferir ataques de negação de serviço, etc
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
18
Ataques DoS
DoS: Denial of Service – ataque de
negação de serviço!
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
19
DoS - Definição
STEIN, L. & STEWART define negação de serviço como
um ataque que permite que uma pessoa deixe um sistema
inutilizável ou consideravelmente lento para os usuários
legítimos através do consumo de seus recursos, de
maneira que ninguém consegue utilizá-los.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
20
DoS - História
No ano de 1988 houve a primeira detecção de ataque
DoS. No mês de setembro de 1996, o Provedor Public
Access Network Corporation (PANIX) ficou cerca de uma
semana sob o efeito de um ataque DoS.
Já em maio de 1999 uma série de ataques DoS atingiu as
redes do Federal Bearout of Investigation (FBI) e de vários
outros órgãos governamentais norte-americanos.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
21
DoS - Tipos
Basicamente temos três tipos de DoS:
 DoS – Local
 DoS – Remoto
 DoS - Distribuído
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
22
DoS - Local
A negação de serviço Local é um ataque que para
poder ser executado é necessário estar-se logado
ao sistema, Outro método antigo de ataque, é o
ataque a disco que simplesmente lota o HD do
sistema com dados aleatórios.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
23
DoS - Remoto
Os ataques DoS remoto, que podem ser
executado sem estar logado ao sistema (DoS
Remoto Multiprotocolar) que consiste em ataques
que funcionam independente do sistema
operacional, devido à falhas em diversos
protocolos e o de força bruta que neste caso, o
atacante envia para a rede um número de pacotes
superior ao limite que o destino é capaz de
absorver.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
24
DoS - Distribuído
Os ataques DDoS, acontecem remotamente,
através do ataque simultâneo de vários
equipamentos infectados (bot´s), apontando para
o mesmo alvo.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
25
PSI - Política de Segurança da
Informação
Política de Segurança da Informação
A política de segurança atribui direitos e
responsabilidades às pessoas que lidam com os
recursos computacionais de uma instituição e com
as informações neles armazenados. Ela também
define as atribuições de cada um em relação à
segurança dos recursos com os quais trabalham.
(Cert.br)
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
27
PSI
Uma política de segurança também deve prever o que
pode ser feito na rede da instituição e o que será
considerado inaceitável. Tudo o que descumprir a política
de segurança pode ser considerado um incidente de
segurança.
Na política de segurança também são definidas as
penalidades às quais estão sujeitos aqueles que não
cumprirem a política.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
28
PSI – O que pode ser ameaçado?
 Hardware
• objetos e equipamentos
• material (por exemplo, o cobre) e insumos
(papel, fitas...)
 Software
• software-produto
• software-elemento operacional
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
29
PSI – O que pode ser ameaçado?
 Informações
• Sobre indivíduos
• Financeiras, jurídicas, administrativas,
ou técnicas.
• Pessoal
• Econômicas
 Ambiente
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
30
PSI – Possíveis atacantes
 Incidentes externos ou eventos da natureza
 Empregados (ações não intencionais)
 Empregados (ataques e intrusões acobertadas)
 Empregados (sabotagem às claras)
 Ex-empregados
 Pessoal externo obtendo acesso não
autorizado
 Pessoal de suporte/manutenção
 Concorrencia
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
31
PSI – Quem envolver?
 O administrador de segurança
 O pessoal técnico de tecnologia da informação
 Os Administradores de grupos de usuários
 A equipe de reação a incidentes de segurança
 Os Representantes de grupos de usuários
afetados pela política de segurança
 O Conselho Legal
 Alta direção
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
32
PSI – Determinantes
 Serviços oferecidos versus Segurança
fornecida
 Facilidade de uso versus Segurança mais
seguro.
 Custo da segurança versus o Risco da perda
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
33
PSI – IMPORTANTE
 TODA PSI – é um documento vivo!
Plan
ACT
DO
Check
34
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha