UNIVERSIDADE TUIUTI DO PARANÁ DIEGO LOPES DA CRUZ UMA ABORDAGEM PARA DETECÇÃO E PROTEÇÃO DE ATAQUES MAN-IN-THE-MIDDLE (MITM)

Transcrição

1 UNIVERSIDADE TUIUTI DO PARANÁ DIEGO LOPES DA CRUZ UMA ABORDAGEM PARA DETECÇÃO E PROTEÇÃO DE ATAQUES MAN-IN-THE-MIDDLE (MITM) CURITIBA 2014

2 DIEGO LOPES DA CRUZ UMA ABORDAGEM PARA DETECÇÃO E PROTEÇÃO DE ATAQUES MAN-IN-THE-MIDDLE (MITM) Monografia do curso de Pós-graduação em Redes de Computadores e Segurança em Redes, da Universidade Tuiuti do Paraná, como requisito à título de especialização. Professor orientador: André Luiz de Souza Paula. CURITIBA 2014

3 TERMO DE APROVAÇÃO DIEGO LOPES DA CRUZ UMA ABORDAGEM PARA DETECÇÃO E PROTEÇÃO DE ATAQUES MAN-IN-THE-MIDDLE (MITM) Esta monografia foi julgada e aprovada para a obtenção do título de Especialista no Curso de Pósgraduação em Redes de Computadores e Segurança em Redes da Universidade Tuiuti do Paraná. Curitiba, 21 de fevereiro de Especialização em Redes de Computadores e Segurança em Redes Universidade Tuiuti do Paraná. Orientador: Prof. Esp. André Luiz de Souza Paula UTP - Universidade Tuiuti do Paraná CURITIBA 2014

4 DEDICATÓRIA Dedico este trabalho à minha família, minha esposa Aline Lewerentz e minha filha Rafaela Lewerentz da Cruz, por conceder o tempo que teria com elas de muitos finais de semana para que o meu objetivo fosse alcançado.

5 AGRADECIMENTOS Agradeço este trabalho à todos os professores envolvidos e que colaboraram com meu aprendizado: Prof. Luiz Altamir Corrêa Júnior, Prof. Marcelo Soares Farias, Prof. Msc. Roberto Neia Amaral e em especial ao orientador Prof. André Luiz de Souza Paula. Meu muito obrigado!

6 Que os vossos esforços desafiem as impossibilidades, lembrai-vos de que as grandes coisas do homem foram conquistadas do que parecia impossível." Charles Chaplin

7 RESUMO O estudo explica os princípios da rede de computadores e demonstra alguns tipos de ataques específicos à segurança das informações que trafegam através de uma rede computadores, sendo privada ou pública, cujo os mesmos são conhecidos por especialistas na área da segurança da informação como Man-In-The-Middle (MITM), tendo sua tradução do idioma inglês, "homem no meio", pelo fato que o atacante (homem) ficar no meio da comunicação entre dois ou mais dispositivos. Consiste em demonstrar como um atacante pode interceptar e manipular as informações que são trafegadas na rede afim de usá-las para benefício próprio. Mostra também, a mitigação destes ataques através de recursos e ferramentas de software disponíveis no mercado tendo também como base uma boa política de segurança da informação. O resultado do estudo mostra que, com o entendimento à estes tipos de ataques e o uso das ferramentas adequadas para identificá-los, traz um resultado positivo para evitar que informações confidencias trafegadas pela rede sejam acessadas por terceiros. Palavras-chave: MITM. Man-In-The-Middle. Segurança da informação. Ataques. Redes de computadores. Mitigação.

8 LISTA DE FIGURAS FIGURA 1 - MODELO TCP/IP...20 FIGURA 2 - COMUNICAÇÃO ENTRE AS CAMADAS...21 FIGURA 3 - REQUISIÇÃO DE RESOLUÇÃO DE NOME...24 FIGURA 4 - FUNCIONAMENTO SERVIDOR DHCP...25 FIGURA 5 - FUNCIONAMENTO SERVIDOR DE PÁGINA WEB...26 FIGURA 6 - DIAGRAMA ENTRE CLIENTE E SERVIDOR FTP...27 FIGURA 7 - CRIPTOGRAFIA COM CHAVE SIMÉTRICA...36 FIGURA 8 - SIGILO UTILIZANDO CHAVE ASSIMÉTRICA FIGURA 9 - AUTENTICIDADE USANDO CHAVE PRIVADA...37 FIGURA 10 - COMUNICAÇÃO ARP...47 FIGURA 11 - TRÁFEGO PADRÃO E TRÁFEGO COM ARP ENVENENADO...48 FIGURA 12 - SOFTWARE CAIN & ABEL...49 FIGURA 13 - HOSTS SELECIONADOS PARA O ATAQUE...49 FIGURA 14 - ANÁLISE DAS RESPOSTAS ARP DO ATAQUE...50 FIGURA 15 - CONSULTA E RESPOSTA DNS NORMAL...50 FIGURA 16 - CONSULTA RECURSIVA AO SERVIDOR DNS...51 FIGURA 17 - CENÁRIO DO ATAQUE DE DNS SPOOFING...51 FIGURA 18 - ADICIONANDO REGISTROS NO ETTERCAP...52 FIGURA 19 - ETTERCAP RESPONDENDO REQUISIÇÕES DNS...54 FIGURA 20 - RESULTADO DO ATAQUE DNS SPOOFING...54 FIGURA 21 - REQUISIÇÕES E RESPOSTAS DHCP...55 FIGURA 22 - ROGUE DHCP SERVER...56 FIGURA 23 - ROGUE ACCESS POINT CENÁRIO...57 FIGURA 24 - CRIANDO UM ROGUE AP COM AIRBASE...58 FIGURA 25 - ANALISANDO DADOS COLETADOS...59 FIGURA 26 - ATAQUE SESSION HIJACKING...60 FIGURA 27 - ATAQUE SESSION HIJACKING COM XSS...61 FIGURA 28 - PROCESSO PARA COMUNICAÇÃO HTTPS...62 FIGURA 29 - ATAQUE SSL HIJACKING...62 FIGURA 30 - DESVIANDO O TRÁFEGO DE SAÍDA WEB...63 FIGURA 31 - EXECUTANDO O SSLSTRIP...64 FIGURA 32 - FERRAMENTA ARPSPOOF...65

9 LISTA DE SIGLAS ACL ANSI AP ARP DDoS DHCP DNS FTP HSTS HTML HTTP HTTPS ICMP IDS IP IPS IRC MAC P2P RFC SMTP SNMP SQL SSL TCP UDP WWW Access Control List American National Standards Institute Access Point Address Resolution protocol Distributed Deny of Service Dynamic Host Configuration Protocol Domain Name Service File Transfer Protocol HTTP Strict Transport Security HyperText Markup Language HyperText Transfer Protocol HyperText Transfer Protocol Security Internet Control Message Protocol Intrusion Detection System Internet Protocol Intrusion Prevention System Internet Relay Chat Media Access Control Peer-to-peer Request For Comments Simple Mail Transfer Protocol Simple Network Manage Protocol Structured Query Language Secure Sockets Layer Transmission Control Protocol User Datagram Protocol World Wide Web

10 SUMÁRIO RESUMO... 7 LISTA DE FIGURAS INTRODUÇÃO ENTENDENDO AS REDES DE COMPUTADORES O QUE É UMA REDE DE COMPUTADORES? TIPOS DE REDES COMO SURGIU A INTERNET? MODELO DE REFERÊNCIA TCP/IP PRINCIPAIS SERVIÇOS DE REDE Servidor DNS Servidor DHCP Servidor de páginas WEB Servidor de arquivos FTP SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA VULNERABILIDADES DE SISTEMAS CÓDIGOS MALICIOSOS Vírus Worm Cavalo de Tróia Spyware Backdoor Rootkit Botnet/Bot FIREWALL CRIPTOGRAFIA... 36

11 Criptografia Simétrica Criptografia Assimétrica ASSINATURA DIGITAL CERTIFICADO DIGITAL TIPOS DE ATAQUES MAIS COMUNS Ataques de negação de serviço (DoS) Força Bruta Phishing Desfiguração de Sites Man-In-The-Middle SQL Injection Spoofing Sniffing Envenenamento de cache DNS Elevação de Privilégios Smurf SISTEMAS DE DETECÇÃO DE INTRUSOS ENTENDENDO OS ATAQUES MITM TIPOS DE ATAQUES MITM Envenenamento de cache ARP DNS Spoofing Rogue DHCP Rogue AP Session Hijacking SSL Hijacking MECANISMOS DE PROTEÇÃO À ATAQUES MITM MANTER OS APLICATIVOS E SERVIÇOS SEMPRE ATUALIZADOS CONTROLE FÍSICO E LÓGICO... 67

12 5.3. NÃO ABRIR MÃO DE FERRAMENTAS DE SEGURANÇA CONCLUSÃO REFERÊNCIAS... 69

13 13 1. INTRODUÇÃO O bem mais precioso que uma empresa pode ter atualmente, além dos recursos, é a informação. E esta informação esta cada vez mais longe da caneta e papel, estão indo para os sistemas informatizados, datacenters e armazenamentos na nuvem. Garantir a privacidade desta informação não é tarefa fácil, pois a cada dia surgem novas técnicas para explorar falhas nos sistemas e expor esta informação. Estas técnicas ainda quando descobertas, são replicadas rapidamente em fóruns online, blogs e redes sociais. Por conta isto, tem-se notado a conscientização dos usuários e administradores de rede de se utilizar recursos que aumentem a segurança na hora de se utilizar os meios informatizados, como o uso sistemas que garante a privacidade através da criptografia por exemplo. Mas só este cuidado não é suficiente, pois com alguns tipos de ataques, pode-se quebrar ou evitar o uso de criptografia. Este é o principal motivo de um invasor utilizar o tipo de ataque MITM (Man-in-the-Middle): Manipular o fluxo de dados na comunicação para que se consiga coletar as informações, antes mesmo que as mesmas sejam criptografadas.

14 14 2. ENTENDENDO AS REDES DE COMPUTADORES Para entender o tema principal deste projeto, faz-se necessário o entendimento dos princípios e funcionamento das redes de computadores, que estão presentes no dia-a-dia das pessoas O QUE É UMA REDE DE COMPUTADORES? Uma rede de computadores é formado por dois ou mais dispositivos que estão interligados, via cabo ou sem fio, trocando informações entre si através de protocolos de comunicação específicos TIPOS DE REDES Segundo Tanenbaum (2004), uma rede pode ser definida por seu tamanho, topologia, meio físico e protocolo utilizado. Quanto ao seu tamanho existem as seguintes definições: PAN (Personal Area Network, ou rede pessoal). Uma PAN é uma rede de computadores usada para comunicação entre dispositivos de computador (incluindo telefones e assistentes pessoais digitais) perto de uma pessoa. LAN (Local Area Network, ou Rede Local). É uma rede onde seu tamanho se limita a apenas uma pequena região física. VAN (Vertical Area Network, ou rede de vertical). Uma VAN é usualmente utilizada em redes prediais, vista a necessidade de uma distribuição vertical dos pontos de rede. CAN (Campus Area Network, ou rede campus). Uma rede que abrange uma área mais ampla, onde pode-se conter vários prédios dentro de um espaço contínuos ligados em rede. MAN (Metropolitan Area Network, ou rede metropolitana). A MAN é uma rede onde temos por exemplo, uma rede de farmácias, em uma cidade, onde todas acessam uma base de dados comum.

15 15 WAN (Wide Area Network, ou rede de longa distância). Uma WAN integra equipamentos em diversas localizações geográficas (hosts, computadores, routers/gateways), envolvendo diversos países e continentes como a Internet. SAN (Storage Area Network, ou Rede de armazenamento). Uma SAN serve de conexão de dispositivos de armazenamento remoto de computador para os servidores de forma a que os dispositivos aparecem como locais ligados ao sistema operacional. Sobre as topologias de rede mais utilizadas, segundo Tanenbaum (2004), são as três: Topologia de rede em estrela Neste tipo de rede, todos os usuários comunicam-se com um nodo (nó) central, tem o controle supervisor do sistema, chamado host. Por meio do host os usuários podem se comunicar entre si e com processadores remotos ou terminais. No segundo caso, o host funciona como um comutador de mensagens para passar dados entre eles. O arranjo em estrela é a melhor escolha se o padrão de comunicação da rede for de um conjunto de estações secundárias que se comunicam com o nó central. As situações nas quais isso acontece são aquelas em que o nó central está restrito às funções de gerente das comunicações e a operações de diagnósticos. O gerenciamento das comunicações por este nó central pode ser por chaveamento de pacotes ou de circuitos. O nó central pode realizar outras funções além das de chaveamento e processamento normal. Por exemplo, pode compatibilizar a velocidade de comunicação entre o transmissor e o receptor. Se o protocolo dos dispositivos fonte e destino for diferente, o nó central pode atuar como um roteador, permitindo duas redes de fabricantes diferentes se comunicar. No caso de ocorrer falha em uma estação ou na ligação com o nó central, apenas esta estação fica fora de operação.

16 16 Entretanto, se uma falha ocorrer no nó central, todo sistema pode ficar fora do ar. A solução deste problema seria a redundância, mas isto acarreta um aumento considerável de custos. A expansão de uma rede desse tipo só pode ser feita até um certo limite, imposto pelo nó central: em termos de capacidade de chaveamento, número de circuitos concorrentes que podem ser gerenciados e números de nós que podem ser servidos. O desempenho obtido numa rede em estrela depende da quantidade de tempo requerido pelo nó central para processar e encaminhar mensagens, e da carga de tráfego de conexão, ou seja, é limitado pela capacidade de processamento do nó central. Esta configuração facilita o controle da rede e a maioria dos sistemas de computação com funções de comunicação; possuem um software que implementa esta configuração. Topologia de rede em barramento Consiste em estações conectadas através de um circuito fechado, em série, formando um circuito fechado (anel). O anel não interliga as estações diretamente, mas consiste de uma série de repetidores ligados por um meio físico, sendo cada estação ligada a estes repetidores. Segundo Tanenbaum, é uma topologia em desuso. Topologia de rede em anel A topologia em anel como o próprio nome diz tem um formato circular, onde a última estação é ligada com a primeira, fechando um anel. Quanto ao meio físico, o mais utilizado hoje, segundo Tanenbaum, é o Ethernet. O padrão Ethernet vem subdividido em: Coax/10base2 que utiliza cabo coaxial de 10 mbps de velocidade, UTP (Unshielded Twisted Pair - Par Trançado Não Blindado)/10BaseT que utiliza cabo com 4 pares de fios metálicos trançados com conectores padrões RJ45 nas pontas de 10 mbps e UTP/100baseT ue utiliza cabo

17 17 com 4 pares de fios metálicos trançados também, Gigabit ethernet com velocidades de mbps. Também pode ser conectado por Fibra óptica, um fino filamento contínuo de vidro com uma cobertura de proteção que pode ser usada para conectar longas distâncias. Já existe o padrão Ten-Gigabit Ethernet com velocidade de mbps sobre a fibra óptica. E ainda há as redes sem fios, que se subdividem em diversas tecnologias: Wi-fi, bluetooth, wimax e outras. (Tanenbaum 2004) Quanto ao seu protocolo, hoje, o protocolo mais usado é o TCP/IP, versão IPv4, passando a ser adotado em paralelo o IPv6. (Tanenbaum, 2004) 2.3. COMO SURGIU A INTERNET? A internet surgiu a partir de pesquisas militares nos períodos áureos da Guerra Fria. Na década de 1960, quando dois blocos ideológicos e politicamente contrários um ao outro exerciam enorme controle e influência no mundo, qualquer mecanismo, qualquer inovação, qualquer ferramenta nova poderia contribuir nessa disputa liderada pela União Soviética e pelos Estados Unidos: as duas superpotências compreendiam a eficácia e necessidade absoluta dos meios de comunicação. Nessa perspectiva, o governo dos Estados Unidos temia um ataque russo às bases militares. Um ataque poderia trazer a público informações sigilosas, tornando os EUA vulneráveis. Então foi idealizado um modelo de troca e compartilhamento de informações que permitisse a descentralização das mesmas. Assim, se o Pentágono fosse atingido, as informações armazenadas ali não estariam perdidas. Era preciso, portanto, criar uma rede, primeiramente chamada de ARPANET, criada pela ARPA, sigla para Advanced Research Projects Agency, em A ARPANET funcionava através de um sistema conhecido como chaveamento de pacotes, que é um sistema de transmissão de dados em rede de computadores no qual as informações são divididas em pequenos pacotes, que por sua vez contém trecho dos dados, o endereço do destinatário e

18 18 informações que permitiam a remontagem da mensagem original. O ataque inimigo nunca aconteceu, mas o que o Departamento de Defesa dos Estados Unidos não sabia era que dava início ao maior fenômeno midiático do século 20, único meio de comunicação que em apenas 4 anos conseguiria atingir cerca de 50 milhões de pessoas. Em 29 de Outubro de 1969 ocorreu a transmissão do que pode ser considerado o primeiro da história. O texto desse primeiro seria "LOGIN", conforme desejava o Professor Leonard Kleinrock da Universidade da Califórnia em Los Angeles (UCLA), mas o computador no Stanford Research Institute, que recebia a mensagem, parou de funcionar após receber a letra "O". Já na década de 1970, a tensão entre URSS e EUA diminui. As duas potências entram definitivamente naquilo em que a história se encarregou de chamar de Coexistência Pacífica. Não havendo mais a iminência de um ataque imediato, o governo dos EUA permitiu que pesquisadores que desenvolvessem, nas suas respectivas universidades, estudos na área de defesa pudessem também entrar na ARPANET. Com isso, a ARPANET começou a ter dificuldades em administrar todo este sistema, devido ao grande e crescente número de localidades universitárias contidas nela. Dividiu-se então este sistema em dois grupos, a MILNET, que possuía as localidades militares e a nova ARPANET, que possuía as localidades não militares. O desenvolvimento da rede, nesse ambiente mais livre, pôde então acontecer. Não só os pesquisadores como também os alunos e os amigos dos alunos, tiveram acesso aos estudos já empreendidos e somaram esforços para aperfeiçoá-los. Houve uma época nos Estados Unidos em que sequer se cogitava a possibilidade de comprar computadores prontos, já que a diversão estava em montá-los. A mesma lógica se deu com a Internet. Jovens da contracultura, ideologicamente engajados em uma utopia de difusão da informação, contribuíram decisivamente para a formação da Internet como hoje é conhecida. A tal ponto que o sociólogo espanhol e estudioso da rede Manuel Castells afirmou no livro A Galáxia da Internet (2003) que A Internet é, acima de tudo, uma criação cultural.

19 19 Um sistema técnico denominado Protocolo de Internet (Internet Protocol) permitia que o tráfego de informações fosse encaminhado de uma rede para outra. Todas as redes conectadas pelo endereço IP na Internet comunicam-se para que todas possam trocar mensagens. Através da National Science Foundation, o governo norte-americano investiu na criação de backbones (que significa espinha dorsal, em português), que são poderosos computadores conectados por linhas que tem a capacidade de dar vazão a grandes fluxos de dados, como canais de fibra óptica, elos de satélite e elos de transmissão por rádio. Além desses backbones, existem os criados por empresas particulares. A elas são conectadas redes menores, de forma mais ou menos anárquica. É basicamente isto que consiste a Internet, que não tem um dono específico. O cientista Tim Berners-Lee, do CERN, criou a World Wide Web da sigla WWW em A empresa norte-americana Netscape criou o protocolo HTTPS (HyperText Transfer Protocol Secure), possibilitando o envio de dados criptografados para transações comercias pela internet. Por fim, vale destacar que já em 1992, o então senador Al Gore, já falava na Superhighway of Information. Essa "super-estrada da informação" tinha como unidade básica de funcionamento a troca, compartilhamento e fluxo contínuo de informações pelos quatro cantos do mundo através de uma rede mundial, a Internet. O que se pode notar é que o interesse mundial aliado ao interesse comercial, que evidentemente observava o potencial financeiro e rentável daquela "novidade", proporcionou o boom (explosão) e a popularização da Internet na década de Até 2003, cerca de mais de 600 milhões de pessoas estavam conectadas à rede. Segundo a Internet World Estatistics, em junho de 2007 este número se aproxima de 1 bilhão e 234 milhões de usuários. (WIKIPEDIA. 2013)

20 MODELO DE REFERÊNCIA TCP/IP No estudo de redes de computadores existem dois modelos de referência, o modelo conceitual definido pela International Standards Organization (ISO) chamado OSI e o modelo de referência padronizado para uso na Internet chamado TCP/IP. (TANENBAUM, 2003). Portanto, todo computador ou dispositivo que funciona em rede, sendo local (LAN) ou global (Internet), corporativo ou doméstico, utiliza os padrões e protocolos do modelo de referência TCP/IP estabelecido como modelo padrão em O modelo de referência TCP/IP é divida em quatro camadas conforme figura 1, a seguir. FIGURA 1 - MODELO TCP/IP FONTE: FAQ INFORMÁTICA, 2010.

21 21 A figura 2 mostra a comunicação entre as camadas do modelo TCP/IP, a seguir: FIGURA 2 - COMUNICAÇÃO ENTRE AS CAMADAS FONTE: FAQ INFORMÁTICA, Camada de Aplicação Esta camada faz a comunicação entre os aplicativos e o protocolo de transporte. Existem vários protocolos que operam na camada de aplicação. Os mais conhecidos são o HTTP, SMTP, FTP, SNMP, DNS e o Telnet. Quando um programa cliente de quer descarregar os s que estão armazenados no servidor de , ele irá efetuar esse pedido para a camada de aplicação do TCP/IP, onde é atendido pelo protocolo SMTP. Quando o usuário entra em um endereço www em seu navegador para visualizar uma página da internet, o navegador irá comunicar com a camada de aplicação do TCP/IP, onde é atendido pelo protocolo HTTP. E assim por diante. A camada de aplicação comunica-se com a camada de transporte através de uma porta. As portas são numeradas e as aplicações padrão usam sempre uma mesma porta. Por exemplo, o protocolo SMTP utiliza sempre a porta 25, o protocolo HTTP utiliza sempre a porta 80 e o FTP as portas 20 e a 21. O uso de um

22 22 número de porta permite ao protocolo de transporte, na maioria das vezes o TCP, saber qual é o tipo de conteúdo do pacote de dados por exemplo, saber que o dado que ele está a transportar é um e no receptor, saber para qual protocolo de aplicação ele deverá entregar o pacote de dados, já que, como pode-se ver, existem inúmeros. Assim ao receber um pacote destinado à porta 25, o protocolo TCP irá entregá-lo ao protocolo que estiver conectado a esta porta, tipicamente o SMTP, que por sua vez entregará o dado à aplicação que o solicitou. (FAQ INFORMÁTICA, 2010) Camada de Transporte Esta camada é responsável por captar os dados enviados pela camada de aplicação e transformá-los em pacotes, a serem repassados para a camada de Internet. No protocolo TCP/IP a camada de transporte utiliza um esquema de multiplexação, onde é possível transmitir simultaneamente dados das mais diferentes aplicações. Na verdade, ocorre o conceito de intercalação de pacotes; vários programas poderão estar a comunicar com a rede ao mesmo tempo, mas os pacotes gerados serão enviados à rede de forma intercalada, não sendo preciso terminar um tipo de aplicação de rede para então começar outra.isso é possível graças ao uso do conceito de portas, explicado na camada de aplicação, já que dentro do pacote há a informação da porta de origem e de destino do dado. Nesta camada operam dois protocolos: o TCP (Transmission Control Protocol) e o UDP (User Datagram Protocol). Ao contrário do TCP, este segundo protocolo não verifica se o dado chegou ou não ao destino. Por esse motivo, o protocolo mais usado na transmissão de dados é o TCP, enquanto que o UDP é tipicamente usado na transmissão de informações de controle. Na recepção de dados, a camada de transporte capta os pacotes passados pela camada Internet e trata de colocá-los em ordem e verificar se todos chegaram corretamente. Além disso, o protocolo IP, que é o protocolo mais conhecido da camada de Internet, não verifica se o pacote de dados enviado chegou ou não ao destino; é o protocolo de transporte, o TCP que, ao remontar a ordem dos pacotes recebidos, verifica se está a faltar algum, pedindo, então, uma retransmissão do pacote que não chegou. (FAQ INFORMÁTICA, 2010)

23 Camada de Internet Existem vários protocolos que podem operar nesta camada: IP (Internet Protocol), ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol) e RARP (Reverse Address Resolution Protocol). Na transmissão de um dado de programa, o pacote de dados recebidos da camada TCP é dividido em pacotes chamados datagramas. Os datagramas são enviados para a camada de interface com a rede, onde são transmitidos pelo cabeamento da rede através de quadros. Esta camada não verifica se os datagramas chegaram ao destino, isto é feito pelo TCP. Esta camada é responsável pelo roteamento de pacotes, isto é, adiciona ao datagrama informações sobre o caminho que ele deverá percorrer. (FAQ INFORMÁTICA, 2010) Camada de Interface com a Rede Esta camada é responsável por enviar o datagrama recebido pela camada de Internet em forma de um quadro através da rede. Tem como principal função, a interface do modelo TCP/IP com os diversos tipos de redes e transmitir os datagramas pelo meio físico, tem a função de encontrar o caminho mais curto e confiável. (FAQ INFORMÁTICA, 2010) PRINCIPAIS SERVIÇOS DE REDE Os serviços de rede estão localizados na camada superior do modelo de referência TCP/IP, ou seja, na camada de aplicação. Os principais serviços são descritos a seguir Servidor DNS O servidor DNS (Domain Name Server) é responsável pela tradução de nomes de domínio em endereço lógico IP e vice-versa. Sem ele, seria difícil a navegação pela internet através de sites WWW, pois teríamos que decorar o

24 24 endereço IP de cada site que desejaríamos acessar. Além disto, é possível criar através dele as chamadas zonas internas e externas, onde máquinas da rede interna ou remotas podem ser acessadas sabendo-se apenas o seu nome (apelido) no domínio, sem a necessidade de saber o seu endereço IP deixando para que o DNS resolva o endereço. (MONTEIRO, 2007) A figura 3 ilustra o funcionamento entre o cliente e o servidor DNS, a seguir: FIGURA 3 - REQUISIÇÃO DE RESOLUÇÃO DE NOME FONTE: OVH.COM, 2013.

25 Servidor DHCP O DHCP, do inglês Dynamic Host Configuration Protocol cuja tradução é Protocolo de Configuração Dinâmica de Endereços de Rede, permite que todos os micros da rede recebam suas configurações de rede automaticamente a partir de um servidor central, deixando de existir a necessidade de configuração manual do ambiente de rede e aumentando o controle sobre quem e quando se conectou a rede. (BUGALLO, 1999). A figura 4 ilustra o funcionamento do serviço de DHCP em uma rede local, a seguir: FIGURA 4 - FUNCIONAMENTO SERVIDOR DHCP FONTE: FAQ INFORMÁTICA, 2010.

26 Servidor de páginas WEB A expressão servidor web engloba uma máquina ou servidor destinada a aceitar pedidos HTTP, geralmente de navegadores como Internet Explorer ou Mozilla Firefox, e servi-los com respostas HTTP, incluindo opcionalmente dados, tais como páginas da web. (ALECRIM, 2006). FIGURA 5 - FUNCIONAMENTO DO SERVIDOR DE PÁGINA WEB FONTE: GOOHOST, Servidor de arquivos FTP Servidores de arquivos que utilizam o protocolo File Transfer Protocol (FTP), traduz-se do idioma inglês como "Protocolo de Transferência de Arquivos", possuem propósitos diferentes, alguns deles são: backup (cópia de segurança), compartilhamento de informações, armazenamento remoto, etc. Em síntese são maquinas dispostas dentro de redes onde é centralizado o armazenamento de informações, garantindo acessibilidade e segurança na continuidade e manutenção destas informações. (GERALDI, 2006). A figura 6 mostra o diagrama entre o cliente e o servidor de arquivos, onde o usuário pode enviar (upload) um arquivo de seu computador para um

27 27 computador remoto e também baixar (download) outro arquivo deste mesmo computador remoto, através do protocolo FTP, a seguir. FIGURA 6 - DIAGRAMA ENTRE CLIENTE E SERVIDOR FTP FONTE: MICROSOFT CORPORATION, 2011.

28 28 3. SEGURANÇA DA INFORMAÇÃO A Informação é um ativo que, como qualquer outro importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. A informação pode existir de diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada. Seja qual for a forma pela qual a mesma é apresentada, transmitida, armazenada ou compartilhada, é recomendado que seja protegida adequadamente. Segurança da informação é garantir que as informações (em qualquer formato: mídias eletrônicas, papel e até mesmo em conversações pessoais ou por telefone) estejam protegidas contra o acesso por pessoas não autorizadas, estejam sempre disponíveis quando necessárias, e que sejam confiáveis. (IZQUIERDO, 2007) POLÍTICA DE SEGURANÇA Política de Segurança é uma série de normas internas padronizadas pela empresa que devem ser seguidas obrigatoriamente para que todas as possíveis ameaças sejam minimizadas e combatidas eficientemente pela equipe de segurança VULNERABILIDADES DE SISTEMAS Vulnerabilidades, no âmbito computacional, são falhas encontradas na programação de um determinado sistema, sendo ele um sistema operacional, software ou serviço de rede. As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow (estouro de pilha), que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema ao invasor. (WIKIPEDIA, 2013).

29 CÓDIGOS MALICIOSOS Códigos maliciosos, do termo em inglês malware, são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: pela exploração de vulnerabilidades existentes nos programas instalados; pela auto-execução de mídias removíveis infectadas, como pen-drives; pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis; pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos; pela execução de arquivos previamente infectados, obtidos em anexos de mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos). Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com as permissões de cada usuário. Os principais motivos que levam um atacante a desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras, a coleta de informações confidenciais, o desejo de autopromoção e o vandalismo. Além disto, os códigos maliciosos são muitas vezes usados como intermediários e possibilitam a prática de golpes, a realização de ataques e a disseminação de spam. (CERT.BR, 2012) Segundo a CERT.BR, existem diversas classificações para os códigos maliciosos, mas será mostrado apenas os principais e mais comuns, a seguir:

30 Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo, porém, estas mídias caíram em desuso e começaram a surgir novas maneiras, como o envio de . Atualmente, as mídias removíveis tornaram-se novamente o principal meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen-drives. Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos, entrando em atividade apenas em datas específicas. (CERT.BR, 2012) Worm Worm, traduzido do idioma inglês "verme", é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como conseqüência, podem afetar o desempenho de redes e a utilização de computadores. (CERT.BR, 2012).

31 Cavalo de Tróia Cavalo de tróia, conhecido como trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas. Há diferentes tipos de trojans, classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador. (CERT.BR, 2012) Spyware Spyware (Software espião) é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Segundo a CERT.BR. pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso: Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado. Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e

32 32 capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha). Além disto, a CERT.BR classifica alguns tipos específicos de programas spyware, são: Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de comércio eletrônico ou de Internet Banking. Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking. Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito. (CERT.BR, 2012) Backdoor Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram

33 33 vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados como backdoors. Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o computador. (CERT.BR, 2012) Rootkit Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. Segundo a CERT.BR, o conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para: remover evidências em arquivos de logs ; instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc;

34 34 mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego. É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo. Rootkits inicialmente eram usados por atacantes que, após invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos métodos utilizados na invasão, e para esconder suas atividades do responsável e/ou dos usuários do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente têm sido também utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por mecanismos de proteção. Há casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de música, sob a alegação de necessidade de proteção aos direitos autorais de suas obras. A instalação nestes casos costumava ocorrer de forma automática, no momento em que um dos CDs distribuídos contendo o código malicioso era inserido e executado. É importante ressaltar que estes casos constituem uma séria ameaça à segurança do computador, pois os rootkits instalados, além de comprometerem a privacidade do usuário, também podem ser reconfigurados e utilizados para esconder a presença e os arquivos inseridos por atacantes ou por outros códigos maliciosos. (CERT.BR, 2012) Botnet/Bot Bot, do termo robô em inglês, é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores.

35 35 A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Também pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de s e o utiliza para o envio de spam. Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots. Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras pessoas ou grupos que desejem que uma ação maliciosa específica seja executada. Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos (inclusive do próprio bot), coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante. (CERT.BR, 2012) 3.4. FIREWALL O firewall, cujo termo vem do idioma inglês e traduzido como "parede de fogo", pode ser definido como uma barreira de proteção entre a rede interna e a Internet, seu objetivo é permitir somente a transmissão e recepção de dados autorizados (ALECRIM, 2004). Existem soluções baseadas na combinação de hardware e software ou somente em software, este último é o mais comum.

36 CRIPTOGRAFIA A palavra criptografia é de origem grega e tem por objetivo o estudo dos princípios e técnicas pelas quais a informação pode ser escondida de forma que se torne incompreensível. (MUNHOZ, 2011). Segundo MUNHOZ, este processo de codificação é chamado de encriptação ou cifragem. Já o processo de engenharia reversa, isto é, transformar a informação de modo que ela fique compreensível novamente se chama decriptação ou decifragem. Para que estas técnicas sejam aplicadas é necessário tanto o conteúdo a ser criptografado quanto a chave que será utilizada para realizar o processo. Obviamente esta chave deve ser mantida em segredo, de forma que somente quem tem acesso a chave consiga entender o conteúdo da mensagem. (MUNHOZ, 2011) Existem basicamente dois tipos de criptografias: a criptografia com uso de chave simétrica e outra com uso de chaves assimétricas, composta por uma chave públicas e outra privada Criptografia Simétrica A criptografia de chave simétrica utiliza a mesma chave para criptografar e para decriptografar os dados, de forma que os dois lados da comunicação devem possuir a mesma chave. Além disso é importantíssimo que esta chave seja transferida com segurança. (MUNHOZ, 2011)

37 37 FIGURA 7 - CRIPTOGRAFIA COM CHAVE SIMÉTRICA FONTE: MUNHOZ, Criptografia Assimétrica Já a criptografia de chave pública utiliza duas chaves distintas, isto é, uma chave privada e uma chave pública. Estas chaves são geradas simultaneamente e são fortemente relacionadas uma com a outra, de forma que a operação executada por uma seja revertida pela outra. A chave privada como o nome indica deve ser mantida em sigilo e protegida por quem gerou as chaves. Já a chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente. A criptografia por chave pública permite garantir tanto a confiabilidade quanto a autenticidade das informações. (MUNHOZ, 2011). FIGURA 8 - SIGILO UTILIZANDO CHAVE ASSIMÉTRICA FONTE: MUNHOZ, 2011.

38 38 FIGURA 9 - AUTENTICIDADE USANDO CHAVE PRIVADA FONTE: MUNHOZ, ASSINATURA DIGITAL A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo. Para contornar a baixa eficiência característica da criptografia de chaves assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda. (CERT.BR, 2013) 3.7. CERTIFICADO DIGITAL A chave pública pode ser livremente divulgada, entretanto, se não houver como comprovar a quem ela pertence, pode ocorrer de você se comunicar, de forma cifrada, diretamente com um impostor. Um impostor pode criar uma chave pública falsa para um amigo seu e enviá-la para você ou disponibilizá-la em um repositório. Ao usá-la para