Sistema de Detecção de Botnets

Tamanho: px
Começar a partir da página:

Download "Sistema de Detecção de Botnets"

Transcrição

1 Sistema de Detecção de Botnets André Saraiva a19228 Davide Teixeira a19236 Trabalho realizado sob a orientação de Nuno Gonçalves Rodrigues Informática de Gestão 2011/2012

2

3 Sistema de Detecção de Botnets Relatório da UC de Projecto de Informática Licenciatura em Informática de Gestão Escola Superior de Tecnologia e de Gestão André Saraiva, Davide Teixeira 2011/2012 iii

4 A Escola Superior de Tecnologia e Gestão não se responsabiliza pelas opiniões expressas neste relatório. iv

5 Certifico que li este relatório e que na minha opinião, é adequado no seu conteúdo e forma como demonstrador do trabalho desenvolvido no âmbito da UC de Projecto de Informática. Nuno Gonçalves Rodrigues Orientador Certifico que li este relatório e que na minha opinião, é adequado no seu conteúdo e forma como demonstrador do trabalho desenvolvido no âmbito da UC de Projecto de Informática. <Nome do Arguente> Arguente Aceite para avaliação da UC de Projecto de Informática v

6 vi

7 Dedicatória vii

8 viii

9 Agradecimentos ix

10 x

11 Resumo Ao longo dos anos a Internet tem tido um crescimento exponencial assim como as demais redes de computadores, tendo estas uma importância massiva no mundo, nos dias que correm. Assim sendo, tornou-se primordial a segurança de todos os dados enviados/partilhados nas redes informáticas, de modo que a integridade e privacidade dos dados não seja comprometida. Diariamente há ataques e tentativas de ataques por toda a rede, fazendo com que a sua segurança seja uma preocupação constante por parte das organizações que não querem a sua informação ou os seus dados comprometidos. Tratando-se de um "inimigo invisível", que muitas vezes não é perceptível há grande maioria dos utilizadores/organizações, torna-se imperativo estudar/monitorizar os invasores assim como as respectivas invasões de modo que se possam estudar os ataques e para que seja possível melhorar as defesas. Com o objectivo de estudar/monitorizar esses ataques, de modo a tornar as defesas mais eficazes, usamos o que é denominado de Honeynet, que são máquinas/sistemas que são criados apenas com o intuito de serem atacadas, serem comprometidas, de forma a recolher e analisar informação sobre os invasores, sobre os métodos e técnicas de ataque assim como as ferramentas usadas nos ataques. Honeypot corresponde a uma única máquina, sendo que vários honeypots correspondem a uma honeynet, podendo uma honeynet ser virtual ou real. Para estudar/monitorizar a rede foram usados Honeypots, em concreto duas ferramentas denominadas Honeyd e Snort, em que o Honeyd corresponde a uma honeynet virtual e o snort a uma honeynet real. As ferramentas foram estudadas e explicadas durante o projecto, sendo que estas foram implementadas e usadas num ambiente Linux mais concretamente no Ubuntu Com um intuito de fazer um estudo mais real e abrangente, foi usada uma máquina com um ambiente Windows nomeadamente Windows XP onde também foram implementadas e xi

12 usadas ferramentas adicionais como o Wireshark e Valhala que também foram descritas e estudadas durante o projecto, assim como a implementação do Snort no ambiente Windows. A recolha e análise de dados correu como esperado e planeado em que todos os dados foram analisados e processados como demonstramos e expomos no capítulo relativo a essa fase do projecto. Palavras-chave: honeynet, honeypot, Ubuntu 12.04, Wireshark, Valhala, Windows XP Honeyd, Snort, segurança em redes de computadores, Linux, Dados, Informação, xii

13 xiii

14 Abstract Keywords: xiv

15 xv

16 Conteúdo 1 Introdução Enquadramento Teórico Objectivos Organização do Trabalho Segurança da Informática Introdução à Segurança Informática Condições Básicas de Segurança Visão Geral dos Riscos e Ameaças Perfil do atacante e as suas motivações Riscos Tipos de Ataques Vírus Trojans Adware Spyware Pishing Rootkit Dialers Backdoors Spam Keylogger Ramsonware Stuxnet Estado na arte na Detecção de Botnets Técnicas de Detecção de Botnets Mecanismos de Detecção de Botnets Honeypot Tipos e níveis de Honeypots Vantagens de Honeypots Desvantagens de Honeypots Honeynet Tipos de honeynet xvi

17 3.4 HoneyD(em ambiente Linux e em Windows) Arquitectura do HoneyD Funcionamento do HoneyD Valhala Honeypot(em ambiente Windows) IDS(Intrusion Detection System) SSL, IPSec e outros IDS em redes com switches Snort (em arquitectura Linux e Windows) Arquitectura/Funcionamento do Snort Implementação de um Honeypot Implementação/Configuração do HoneyD Implementação/Configuração do Snort Implementação/Configuração do Valhala Descrição dos cenários de teste Análise de Resultados Recolha de dados no HoneyD Análise dos dados com o HoneyD Conclusões e trabalho futuro Trabalho futuro, ideias e sugestões A Instalação do Honeypot... 1 A.1 Instalação do HoneyD no Ubuntu A.2 Instalação do Snort no Ubuntu A.3 Configuração das personalidades assumidas pelo HoneyD A.4 Conteúdo do Honeyd.conf A.5 Interpretação do honeyd.log(honeyd) A.6 Instalação do Snort no Windows XP

18

19 Lista de Tabelas Tabela 1-Mecanismos de Propagação...25 Tabela 2-Tipos de ataques...25 Tabela 3-Topologia Command and Control...25 Tabela 4- Caracterização de IDS...36 Tabela 5-Ficha técnica dos computadores utilizados...43 Tabela 6-Origem e quantidade de ligações solicitadas...51 xix

20

21 Lista de Figuras Figura Day Botnet Status...2 Figura 2 Yearly Botnet Status...2 Figura 3-Relação, resposta e sincronização...24 Figura 4-Exemplo clássico de uma Honeynet Real...31 Figura 5-Exemplo clássico de uma Honeynet Virtual...32 Figura 6 -Monitorização de pacotes em rede Ethernet, utilizando hubs ou wire tap...38 Figura 7- Optical Tap...38 Figura 8- Switch com Port Mirror numa estrutura hierárquica...39 Figura 9-Esquema da arquitectura do Snort...42 Figura 10-HoneyD Implementado no Ubuntu Figura 11-Menu de configuração do Valhala...45 Figura 12-HoneyD em funcionamento, informação guardada no honeyd.log...46 Figura 13-Ligações recolhidas pelo Honeyd...47 Figura 14-Número de ligações por cada honeypot...48 Figura 15-Registo do uso de portas na máquina Figura 16-Número de ligações, IP's e portas da máquina Figura 17-Registo do uso de portas na máquina Figura 18 -Número de ligações, IP's e portas da máquina xxi

22 Figura 19-Top 10 de ligações estabelecidas com a honeynet...50 Figura 20-Top 10 de recursos mais solicitados...51 Figura 21-Registo de ligações por hora...53

23 xxiii

24 Lista de Abreviações ARP Address Resolution Protocol DNS Domain Name System DoS Denial of Service DOS Disk Operating System DRDoS Distributed Reflection Denial of Service FTP File Transfer Protocol HTML Hyper Text Markup Language ICMP Internet Control Message Protocol IDS Intrusion Detection System SSL Secure Socket Layer IMAP4 Internet Message Access Protocol 4 IP Internet Protocol IPS Intrusion Prevention System LAN Local Area Network MAC Media Access Control NAT Network Address Translation NETBIOS Network Basic Input/Output System PNG Portable Network Graphics SMTP Simple Mail Transfer Protocol SP1 Service Pack 1 SSH Secure Shell TCP Transmission Control Protocol TCP/IP Transmission Control Protocol/ Internet Protocol TTL Time To Live

25 UDP User Datagrama Protocol PPP Point-to-point ProtocoL SLIP Serial Line Internet Protocol xxv

26

27 Capítulo 1 1 Introdução 1.1 Enquadramento Teórico No âmbito da unidade curricular de Projecto de Informática foi realizado um trabalho que teve como objectivo modelar e implementar um sistema de detecção de botnets na rede do IPB. Hoje em dia, é essencial ter uma boa protecção a nível informático, pois existem cada vez mais programas maliciosos contra empresas e utilizadores, com exemplos diários de novos aparecimentos de virus, spybots, trojans, worms e mesmo botnets. Obviamente quando estes tipos de programas são lançados alguém ganha com isso, sejam empresas ou utilizadores que os desenvolvam com fins pouco lícitos. Actualmente não podemos dizer que temos a melhor maneira ou os melhores meios para combater este fenómeno, pois para isso precisávamos de estar em constante actualização, o que torna o combate a este problema uma luta diária e quase de solução impossível, mas é claro que se pode tentar evitar ao máximo danos maiores ou um grande volume de dados danificados ou apagados, no entanto, podemos e devemos ser capazes de estar o mais bem preparados possível para evitar grande parte de possíveis ataques. De acordo com [1] estima-se que Portugal tem a 16ª maior taxa de infecções de botnets. Os EUA lideram o ranking com mais de dois milhões de máquinas infectadas. Os dados foram divulgados pelo Security Intelligence Report da Microsoft e dizem respeito à primeira metade de Portugal figura no 16º lugar do ranking com um total de máquinas 1

28 infectadas, cujos códigos maliciosos foram removidos pelas ferramentas de segurança da Microsoft durante o segundo trimestre de A Fundação Shadowserver é uma entidade que tem como missão entender e ajudar no combate ao cybercrime em larga escala. É uma fundação composta por profissionais voluntários na área da segurança informática de todo o mundo e funciona como ponto de referência a esta área de estudo. Apresentam-se de seguida alguns gráficos produzidos em estudos desta fundação, mostram uma contagem de todos os servidores activos Command and Control (C&C) que a fundação tem conhecimento e que são alvo de monitorização. Através deles podemos observar a evolução do aparecimento quase diário de botnets [2]. Figura Day Botnet Status. Figura 2-Yearly Botnet Status.

29 1.2 Objectivos O objectivo base do projecto proposto era o de modificar e implementar um sistema de detecção de botnets na rede do IPB. Com base neste pressuposto, foi decidido implementar uma Honeynet, começando por, explicar o que é um sistema Honeynet. De acordo com o enunciado do projecto, uma honeynet é uma rede de computadores a operar sob a observação e propositadamente em estado vulnerável, com objectivo de capturar e analisar malware e o respectivo tráfego. Assim, no âmbito deste trabalho, pretende-se: - Identificar e analisar possíveis abordagens e metodologias para a detecção de botnets; - Implementar uma HoneyNet na rede do IPB; - Identificar e caracterizar as botnets activas na rede do IPB; - Perspectivar possíveis medidas para mitigar este tipo de ameaças. Ao longo deste relatório é importante sabermos identificar os tipos de agentes alvo de estudo, nomeadamente arquitecturas de botnets e outro tipo de malware prejudicial ao sistema, bem como possíveis métodos de combate a estes agentes. Segundo a [3] códigos BotNet executam quase todas as formas de malware, desde spywares para Downloaders, rootkits, spam e muito mais. Para ter um bom desempenho, os antídotos devem proteger múltiplas camadas de segurança. A boa notícia é que essas camadas são surpreendentemente eficazes contra botnets. 1.3 Organização do Trabalho Esta dissertação é composta por 5 (cinco) capitulos estruturados da seguinte forma: O 1º Capítulo apresenta o cenário que motivou a realização deste trabalho e identifica os objectivos propostos. No 2º Capítulo é apresentada uma visão geral sobre a Segurança Informática, baseando-se numa visão geral dos riscos, no perfil do atacante e nas suas motivações, nos riscos e tipos de ataques. 3

30 O 3º Capítulo centra-se no levantamento do estado da arte na detecção de botnets, conceitos gerais de honeypot, vantagens e desvantagens na sua utilização, tipos de honeynets, IDS em vários tipos de arquitecturas de redes, mecanismos de detecção e análises existentes bem como um exemplo actual: o stuxnet. Também é apresentada a arquitectura da implementação de um HoneyPot na rede do IPB. No 4º são apresentadas referências, configurações e conceitos sobre Honeypots e dos programas instalados, assim como também são apresentados os testes realizados, a recolha de dados e as análises de resultados. E por último, o 5º Capítulo são apresentadas as considerações finais, possiveis ideias de continuidade deste trabalho vem como as contribuiçoes do mesmo.

31 Capítulo 2 2 Segurança da Informática 2.1 Introdução à Segurança Informática Um sistema informático é seguro quando este executa/faz o que é pretendido segundo condições previamente definidas, isto é, sempre que um sistema executa algo indesejado ou algo não planeado não estando previamente definido pode assumir-se que este não é seguro. Para evitar que o nosso sistema seja inseguro devem ser adoptadas normas de segurança, um conjunto formal de regras que devem ser respeitadas e seguidas com o intuito de manter o sistema seguro para que este funcione como previamente definido e nas condições desejadas. Para garantir que a segurança da rede seja assegurada é necessário tomar medidas de protecção que suportem os princípios de prevenção, detecção e reacção sendo possível utilizar mecanismos de segurança para esse fim. É necessário garantir a segurança da informação armazenada assim como da informação em transito. A informação pode ser alvo de ataques informáticos, podendo ser interceptada, difundida e analisada sem consentimento do autor, sendo bastante difícil de detectar se essa informação foi interceptada caso não haja alteração da mesma, a informação pode ser alterada, camuflada enviando a informação a um falso receptor sem consentimento ou conhecimento, podendo também ser retransmitida ou até mesmo alterado o conteúdo da informação. 5

32 A ameaça à segurança pode classificar-se em três tipos principais, ataque por imitação em que o um sistema ou utilizador rouba a identidade de um outro sistema, fazendo-se passar por um sistema ou utilizador obtendo acesso a informação que há priori seria negada, acesso não autorizado em que um sistema ou utilizador acede a informação restrita, informação essa que estaria disponível a um utilizador/sistema autorizado e não ao sistema/utilizador que acede à informação sem autorização. Outra ameaça é a corrupção de serviços, que tem como finalidade interromper/perturbar o normal funcionamento de um serviço, causando danos físicos ou lógicos recorrendo a vírus(malware), gerando artificialmente grandes volumes de tráfego ou enormes volumes de pedidos de acesso a servidores causando uma sobrecarga enorme nos servidores impedindo que estes processem os pedidos normais [4, 5, 6, 8] Condições Básicas de Segurança As condições básicas de segurança para que um sistema realize permanentemente as tarefas para o qual foi projectado podem ser definidas como: Autenticação: Garante que os intervenientes numa comunicação são fidedignos, validando um utilizador, sistemas ou processo. Confidencialidade: Garante que só tem acesso há informação os intervenientes autorizados. Controlo de acesso: Garante que um recurso só é acedido por quem está autorizado. Disponibilidade: Garante que mesmo havendo alguma falha no sistema, a informação/recurso continua disponível para os utilizadores. Integridade: Garante que a informação não é corrompida, sendo esta apenas acedida ou alterada por quem está autorizado. Não repudiação: Garante que uma entidade não nega a acção determinada, isto é, funções que impedem que determinadas entidades parem abruptamente um determinado serviço [6, 7, 8].

33 2.2 Visão Geral dos Riscos e Ameaças Regra geral já todos os utilizadores que usaram a Internet seja, para que finalidade tenha sido, já ouviram falar que correm riscos a partir do momento em que estabelecem a ligação a esta rede. Isto porque aceder à Internet consiste também na troca de informação por parte do utilizador desde que se liga ate se desligar, começando no envio de informações como o seu IP, browser usado, etc. Digamos que desde que a Internet se tornou mais global e a ligação aumentou, ou seja, a maioria dos utilizadores de computadores se começou a ligar mais frequentemente e passando mais tempo na Internet que nos tornamos mais vulneráveis a contrair vírus no nosso sistema. Se antes apenas havia preocupação com o conteúdo das disquetes e em CD s hoje em dia o perigo passa muito para além disso, o que não significa que mesmo assim hoje em dia não tomemos atenção a dispositivos USB e cds/dvds. Daí ser cada vez mais necessário a implementação de protecções contra ataques que tendem a ser cada vez mais danosos ao nosso sistema. 2.3 Perfil do atacante e as suas motivações Muitas vezes o perfil do atacante pode-se resumir a um indivíduo que normalmente é um apaixonado pelo mundo da informática e que tem como objectivo primário aprender como funciona um sistema e testá-lo ao limite, seguindo posteriormente à parte em que a sua acção tem sucesso e simplesmente encontra ou aprende como quebrar de forma ilegal o sistema em estudo. As motivações de quem executa este tipo de acções prendem-se com vários factores como: Obter acesso a um sistema informático; Obter informações, desde pessoais, industriais ou segredos de ordem variada; Obter dados bancários; Obter informações sobre uma organização (empresa do utilizador, etc.); Destabilizar o normal funcionamento de um serviço; Infectar o sistema de um utilizador para posteriormente atacar outro sistema; 7

34 Usufruir de recursos do sistema atacado para fins pessoais ou para organizar um ataque mais forte. 2.4 Riscos Existem algumas normas que deveriam fazer parte, senão de todos, de grande parte dos utilizadores de computadores. Essas normas pretendem a protecção do seu computador. Se para alguns o seu uso é apenas pessoal, para outro tipo de utilizadores o seu uso é mais profissional, no entanto ambos requerem o mesmo nível básico de segurança. Subentende-se como nível básico de protecção regras de uso como: Confidencialidade da sua informação; Escolha e guarda de palavras passe; Manter o seu computador actualizado; Uso de firewall; Uso de anti-vírus; Uso de anti spyware; Cuidado na pesquisa de informação com browsers; Cuidados a ter na recepção e envio de s; Cuidados na execução de programas informáticos. 2.5 Tipos de Ataques Um ataque informático pode ser considerado como a exploração de uma falha num sistema informático, ao nível do software do mesmo, para atingir determinados objectivos que são quase sempre de acção maléfica e prejudicial ao sistema atacado. Na Internet são diários os tipos de ataques a que somos sujeitos e para isso basta um simples click. Os ataques são normalmente feitos a partir de máquinas infectadas, ou seja, funcionam como contágio como se de uma doença se trata-se. As máquinas são normalmente infectadas por: virus, trojans (cavalos de troia), spyware, etc. Ataques esses claramente sem

35 consentimento e conhecimento do utilizador. Um utilizador tem de estar sempre em alerta no que da Internet diz respeito, muitas vezes mesmo em receber ficheiros de conhecidos nossos. De seguida, identificam-se os tipos de ataques mais comuns na internet Vírus Vírus são programas ou segmentos de código que são instalados/copiados para um computador sem que o utilizador tenha consentido ou conhecimento e que podem alterar o normal funcionamento do computador assim como as restantes aplicações e tarefas do mesmo. Um vírus pode multiplicar-se automaticamente, sendo autónomo ou accionado por meios humanos, sendo que nem todos os vírus são destrutivos, isto é, alguns poderão efectivamente danificar, remover, alterar, roubar dados do computador, mas no entanto, existem também vírus inofensivos, que por vezes pouco mais fazem do que incomodar. De qualquer das formas, mesmo os vírus, inofensivos ou destrutíveis consomem memória, recursos de CPU, afectando a performance da máquina. A capacidade de multiplicação dos vírus é uma característica sabida e muito real, infectando ficheiros e computadores que se revelem mais vulneráveis. Os vírus podem-se espalhar através do uso da Internet, por exemplo, fazendo o download e instalação de programas maliciosos que possam intencionalmente instalar um vírus assim como até mesmo clicando apenas em determinados sites, abertura de ficheiros ou programas infectados, por , partilha de discos. Outra causa para a transmissão, deve-se ao facto de por vezes o utilizador não fazer actualizações periódicas ao seu sistema operativo, não beneficiando assim de correcções em termos de segurança, sendo que essas actualizações poderão ser muito importantes visto que corrigirão falhas de segurança. Alguns vírus implantam-se no sistema operativo da máquina, fazendo com que os utilizadores não tendo um grande conhecimento especializado em informática, tenham receio de remover os ficheiros corrompidos, tendo em conta que um erro na remoção desses ficheiros será consequentemente comprometedor visto que se por lapso for removido um ficheiro benigno do sistema, poderá comprometer o bom funcionamento do seu computador. 9

36 Outros vírus encriptam os próprios dados, escondendo-se assim no sistema e dos antivírus, tornando a remoção mais difícil, apesar de cada vez mais haver antivírus preparados para lidar com esse processo. Por vezes, os vírus tentam desactivar o próprio antivírus. Sendo bem sucedido é a melhor forma de este se camuflar e permanecer indetectável. Garantir o antivírus actualizado, apesar de não ser infalível, é uma ajuda preciosa, assim como não abrir ficheiros suspeitos sem antes, pelo menos, fazer uma inspecção com o antivírus. Manter o sistema operativo actualizado, de forma que pelo menos algumas falhas de segurança sejam corrigidas e ter uma firewall sempre activa e actualizada[9] Trojans O Cavalo de Tróia ou Trojan Horse é um tipo de software malicioso que pode entrar num computador disfarçado de um programa comum e legítimo. Tem como finalidade possibilitar a abertura de uma porta de entrada, de forma que utilizadores mal intencionados possam invadir o PC. O invasor pode realizar tarefas simples como ter control sobre o rato ou teclado até a utilização do IP da máquina infectada como ponte para outros ataques. Um Trojan faz-se passar por um programa ou ficheiro que simula alguma funcionalidade e até mesmo numa foto podemos encontrar este malware, que consegue camuflar-se em ficheiros de inicialização do sistema operativo onde, sem o conhecimento do utilizador, estes são iniciados sempre que a máquina arranca. Com o crescimento da Internet, e com a facilidade com que é possível criar um trojan, faz com que seja um perigo diáriamente, porque não depende de falhas do sistema. É muito difícil detectar, o que faz com que por vezes uma simples distracção do utilizador ao instalar um programa duvidoso ou mesmo abrir um ficheiro duvidoso resulte na infecção do computador. Keyloggers (que normalmente são utilizados para roubar senhas) e Backdoors (ficheiros que possibilitam aberturas de portas para invasão) são 2 tipos de trojans. Normalmente não se auto copiam nem é necessário que outros programas sejam infectados para que estes possam executar as suas funções, apenas necessitam de ser executados aquando da sua instalação,

37 tornando-os perfeitamente autónomos, e por vezes, quando eliminamos (ou tentamos) alguns ficheiros com o dito trojan, gera automaticamente uma perda de dados na máquina. Assim sendo, mesmo se um antivírus não detectar a presença dum trojan, deve-se sempre suspeitar e executar ficheiros desconhecidos com muita cautela. Como foi dito anteriormente, como prevenção, deve-se executar ficheiros apenas e só quando temos a certeza do que estamos a executar, e suspeitar sempre de ficheiros suspeitos, evitando assim futuros incómodos. Manter sempre um bom antivírus actualizado porque mesmo que não ofereça protecção total, sempre ajuda, e sempre que houver conhecimento de novos trojan o antivírus irá ter conhecimento e ajudar a proteger a máquina[10,11,12] Adware Adware são programas indesejáveis que exibem publicidade e anúncios sem a autorização do utilizador tornando o computador mais lento assim como a ligação. Normalmente são associados a spyware porque são semelhantes na sua infecção e remoção. Alguns adwares assumem características de spyware, uma vez que podem transmitir informações sobre o utilizador para terceiros sem a autorização, e por vezes enviam spam para as listas de contacto do do utilizador. No início, os adwares usavam pop-up, banners e pequenas janelas de publicidade no software de terceiros, sendo que para a remoção desta publicidade era necessário fazer um upgrade do software para uma versão paga. Com um grande crescimento e desenvolvimento dos adwares, este começaram a ter capacidade de monitorizar a actividade e comportamentos dos utilizadores na Internet, podendo mostrar a publicidade mais correcta para cada utilizador, podendo fornecer esses comportamentos e hábitos a certos sites. Por vezes o simples facto de navegar num site malicioso, faz com que esse site tente automaticamente instalar adwares. 11

38 Os adwares apresentam a mais variada publicidade, que pode ir desde publicidade pornográfica, a falsa publicidade de infecção do sistema por vírus, entre outros, causando instabilidade no browser assim como na máquina [13,14] Spyware Spywares são programas espiões, isto é, são programas automáticos, em que a sua finalidade é obter informações sobre uma ou mais actividades realizadas num computador e transmite essa informação a uma entidade externa na Internet, sem o conhecimento ou consentimento do utilizador. No entanto, isto não significa que todos os spyware sejam programas maus. É verdade que existem muitos spywares criados para actividades ilícitas, criados para obter informações pessoais e, com elas, praticar actividades ilegais. No entanto, ainda assim, existem, por exemplo, empresas de publicidade que utilizam spywares para, de forma legal, obter informações sobre os seus clientes, de forma a oferecer ao cliente um especifico anúncio. Os spywares podem ser desenvolvidos por empresas comerciais com a finalidade de monitorizar o hábito/histórico dos utilizadores de forma que possam recolher e vender estes dados pela Internet. Assim sendo, as empresas vão-se excedendo e criando inúmeras variantes dos seus spyware, tornando-os cada vez mais completos e dificultando muito a sua remoção. Os spyware são diferentes dos cavalos de Tróia por não terem como objectivo que o sistema do utilizador seja dominado ou manipulado por uma entidade externa. Não existe um modo de saber se um spyware é bom ou se é mau. O critério que deve sempre ser usado é que para se proteger, tem sempre de desconfiar e estar o mais atento possível. Regra geral, um spyware não-prejudicial só será instalado mediante a autorização do utilizador. Um spyware maligno, porém, será instalado sem aviso prévio e sem que o utilizador tenha conhecimento ou que autorize. Existem programas anti-spyware criados para evitar esse tipo de ameaça que possuem base de dados completas e que são actualizados constantemente. Comparando as partes de código entre os spywares conhecidos e os aplicativos do computador, é possível detectar se o computador está ou não a ser vítima de invasão/espionagem.

39 Muitos vírus, transportam/instalam também spywares com o intuito de praticar actos ilícitos, como roubar dados bancários, dados pessoais do utilizador, e até mesmo roubar ou modificar certos ficheiros de dados. Por vezes os spywares podem vir ligados a shareware ou freeware, isto é, a partir do momento que usamos esses shareware ou freeware aceitamos legalmente a instalação de alguns spyware [15,16,17] Pishing O Phishing é um tipo de ataque relativamente fácil de executar mas algo difícil de interpretar logo à primeira vista, pois este método consiste no envio por parte do atacante de um engodo. O engodo mais recorrente e se calhar até cada um de nós já foi posto à prova neste ataque, consiste no envio de um muitas vezes com um link (endereço) para o site do nosso banco ou outra entidade que possivelmente somos filiados com o intuito de nos ludibriar, levando-nos a preencher com os nossos dados confidenciais e assim posteriormente terem acesso aos nossos dados. Este tipo de ataque vem muitas vezes associado a programas como keyloggers e outros programas similares, que basicamente conseguem controlar os movimentos que fazemos no sistema, desde captura de teclas pressionadas, imagens do ecrã, contactos e até actividades realizadas pelo rato. Como temos dito para cada tipo de ataque, vamos tentar sempre divulgar como estar atento e como prevenir ao máximo este tipo de ataque. A forma de protecção contra estes ataques segue as regras comuns a uma utilização segura da Internet, que são [18]: 1. Evite sempre enviar informação pessoal seja por quem for solicitada por , tal como: n.º do cartão de crédito, username, password, nomes. Muito dificilmente algum agente credível lhe pedirá este tipo de informações. 2. Não faça clicks em ligações de suspeitos. Caso queira entrar por exemplo numa página, introduza directamente no browser o endereço da entidade referida no e navegue a partir daí. 3. Se duvidar da veracidade mesmo assim do , contacte a entidade para confirmar a veracidade do , mas nunca use os contactos indicados no . Faça-o da forma que costuma fazer habitualmente. 13

40 4. Certifique-se sempre que o site é seguro, para isso devemos fazer duplo clique sobre o cadeado no canto inferior direito do browser ou pelo endereço (URL), que deve começar por https:// e não por Desta forma conseguimos saber se estamos a entrar num endereço seguro. 5. Desconfiar sempre de s impessoais que se dizem de uma entidade com a qual mantemos algum tipo de contacto, seja um site de e-commerce ou uma instituição financeira. Normalmente os s destas entidades dirigem-se ao Cliente pelo nome, como Exmo. Sr. José Costa e não por Caro cliente. O objectivo dos fraudulentos é precisamente obter informação pessoal sobre a pessoa em si, pelo que é difícil conhecerem o nosso nome de antemão. 6. Certifique-se que o seu browser (navegador de internet) está actualizado. Para efectuar esta operação basta regularmente observar se existem actualizações. Normalmente esta operação é bastante acessível, basta percorrer o sistema de navegação do browser utilizado, dependendo de browser para browser. Por omissão as actualizações vêm activadas para serem efectuadas de forma regular. 7. Instale uma barra de ferramentas para o seu browser. A NetCraft disponibiliza uma que fornece informação diversa sobre o site a que está a aceder: a localização geográfica do servidor que aloja o site, a entidade responsável pelo site e a primeira vez que este endereço foi detectado pela NetCraft, assim sendo poderá conferir em tempo real uma possível ameaça graças a esta ferramenta Rootkit Rootkit é uma aplicação (ou conjunto de aplicações) que, utilizando funções do sistema operativo, oculta a sua presença ou a presença de outros malwares, sendo que é por vezes quase indetectável por programas antimalware comuns. Os rootkits podem ser bons ou maus. Os rootkits correctos podem ser parte integrante ou ser instalados como uma aplicação legitima. Por essa razão é necessário ter atenção nos possíveis resultados de um anti-rootkit. No Windows, os rootkits infectam preferencialmente as tarefas e processos da memória, mudando a ordem e anulando os pedidos do programa que se encontra afectado, impedindo

41 que o programa tenha acesso aos ficheiros necessários para o seu funcionamento. Por outras palavras, pode-se dizer que os rootkits ludibriam o programa, fazendo-o acreditar que os ficheiros não existem, quando na realidade existem, provocando assim mensagens de erro. No Linux, quando infectado com um rootkit, substitui o programa de lista de ficheiros, sendo que se o rootkit tiver ou der ao sistema uma lista de ficheiros própria, este poderá ocultar-se, visto que alterará a lista e tornar se-á indetectável. Uma máquina pode ser infectada com um rootkit de várias formas, sendo o mais comum através de algum cavalo de troia ou até mesmo de um anexo suspeito de . Na navegação na Internet, por vezes pode resultar na infecção de um rootkit, instalando plug-ins maliciosos, mesmo que por vezes estes pareçam legítimos. Como a maior parte do malware, os rootkits multiplicam-se e são difundidos através de s e sites maliciosos como, por exemplo sites de falsas Entidades Bancárias ou que se tentam passar por entidades bancárias entre outros. Por vezes basta apenas um click para haver uma infecção do computador, sendo que também podem automaticamente nos serem roubadas informações pessoais e dar acesso a invasores maliciosos. Apesar de não ser infalível, ter um bom antivírus e uma boa firewall é sempre uma boa prática e uma boa protecção para evitar pelo menos uma parte de ataques. Com a quantidade de s maliciosos e spam existente actualmente na Internet, é uma boa prática reportar todos os s suspeitos aos serviços anti-spam. Actualmente, alguns antivírus estão preparados para detectar alguns rootkits, mas quanto maior é a tecnologia de defesa, maior será a tecnologia de ataque sendo que o melhor é sempre prevenir e ajudar na prevenção. Os rootkit vão tirar (ou tentar) vantagens de possíveis falhas no sistema, tanto para o infectarem como após a infecção para tirar maior partido possível ilicitamente do computador[19,20,21,22] Dialers É um género de software que é instalado no computador e que utiliza a ligação com a linha telefónica para ligar para um certo número de tarifação especial, causando assim enormes 15

42 aumentos nos pagamentos da conta telefónica. Hoje em dia os utilizadores que tenham acesso à Internet por banda larga estão protegidos contra este malware, no entanto os utilizadores com Internet dial-up por modem podem ainda ser atacados. Alguns dialers ligam para Fornecedores de Acesso à Internet (ISPs) e foram desenhados para fornecer assistência genuína. É possível que esses programas possam ser usados para aceder a serviços pagos na Internet sem usar um cartão de crédito. Por essa razão é possível que alguns utilizadores possam instalar intencionalmente esse tipo de programa para fins menos próprios. Os dialers podem modificar a configuração do sistema de forma que os utilizadores que se liguem à Internet através de um modem sejam redireccionados para um número de tarifação especial[23] Backdoors Backdoor é um programa de controlo remoto que permite a um invasor ter acesso e controlar um computador através da Internet. Um backdoor típico consiste de dois componentes: cliente e servidor. O cliente é considerado o invasor/atacante e o servidor é considerado como sendo a vítima/computador atacado, onde o invasor usa o backdoor instalado no computador desta para ter acesso e controlar a máquina. Esta invasão surge através de uma falha de segurança que pode existir num programa ou mesmo no sistema operativo e permite que a mesma seja possível, de forma que o invasor possa ter acesso total da máquina. Como qualquer falha, um backdoor é usado por invasores para instalar vírus ou simplesmente invadir o computador pelas piores motivações, sendo que alguns backdoors apenas podem ter a finalidade de abrir as portas para futuras invasões como trojans e rootkits. Através dessa falha de segurança o computador poderá ser acedido remotamente, dando ao invasor controlo total sobre a máquina, desde ver/modificar/apagar ficheiros, a instalação de programas, desligar a máquina, conectar a outros computadores entre outros. As backdoors podem vir acompanhadas de programas específicos para invasão. Assim, qualquer um que tiver aquele código malicioso instalado pode ter o computador invadido até

43 mesmo por pessoas com pouco conhecimento em informática. Em poucos cliques, um hacker conseguiria entrar na sua máquina e fazer o que quiser: desde abrir a drive de CD/DVD até apagar dados do computador. Assim sendo, deve-se manter programas e o sistema operativo sempre actualizado para corrigir possíveis falhas de segurança, independentemente do sistema operativo que se usa[24,25,26] Spam O termo SPAM é utilizado para designar o todo correio electrónico não-solicitado pelo utilizador e enviado em massa. Entende-se por não-solicitado quando uma mensagem de correio electrónico enviada para alguém sem autorização/consentimento prévio, enquanto enviada em massa corresponde ao envio para um grande número de destinatários a mesma mensagem. As newsletters de subscrição e comunicações a clientes são dois exemplos de mensagens enviadas em massa que não são SPAM, isto se considerarmos que os clientes deram autorização para que lhes seja enviado. Para termos ideia da complexidade e enormidade do assunto em questão fazemos referência a uma notícia publicada no Portal Sapo[29] Investigadores de empresas de segurança divulgaram a suspensão da botnet Grum, a terceira maior rede de computadores zombies do mundo. Os cibercriminosos usavam esta rede para enviar cerca de 18 mil milhões de mensagens de spam por dia, quase um quinto de todo o spam gerado por dia em todo o mundo. Durante essa semana, os especialistas bloquearam a botnet e tomaram o controlo de servidores na Holanda e no Panamá. Contudo, segundo Atif Mushtaq, da empresa FireEye, os cibercriminosos transferiram os comandos para envio de spam para outras máquinas localizadas na Rússia e Ucrânia. O investigador partilhou a informação sobre a nova localização dos computadores zombies com outros especialistas, inclusive localizados na Rússia e Ucrânia. Depois de três dias de trabalho conjunto, conseguiram, com a ajuda dos fornecedores de Internet locais, desligar a botnet Grum. 17

44 Segundo o jornal The New York Times, no início deste ano, funcionários da Microsoft também conseguiram desligar uma botnet que incluía computadores localizados nos Estados de Illinois e Pensilvânia (EUA). Essas máquinas eram usadas por cibercriminosos para rodar o Zeus, uma botnet que rouba informações bancárias de cibernautas, bem como números de cartão de crédito, após infectar os computadores com malware. Na maior parte dos casos, os spammers conseguem os endereços de através de programas que pesquisam endereços na web, mas no entanto podem e devem ser tomadas algumas medidas de segurança como, por exemplo, nunca responder a spams. Se isso acontecer estará a confirmar o seu e certamente será alvo de mais spam. Ter uma conta alternativa de caso seja habitual registar em serviços online, principalmente serviços que sejam potencialmente duvidosos. Nunca clicar em links que venham contidos em mensagens de spam ou de remetentes duvidosos, assim como preservar o seu , evitando fornece-los em chats ou sites suspeitos. Utilizar sempre um bom programa anti-spam, apesar de não ser o suficiente para eliminar todo o spam certamente ajudará a que pelo menos seja reduzido consideravelmente. O Utilizador deve usar um bom programa anti-spam. Isso diminuirá a quantidade de lixo na caixa de s e a probabilidade de ser apanhado desprevenido. Alguns programas que podem ajudar: Agnitum Spam Terrier, Spam Nullifier, Mozilla Thunderbird, entre outros[27,28] Keylogger Keylogger é um programa (spyware) que tem como finalidade guardar informação, de registar tudo o que é digitado, tendo como principal motivação guardar passwords, números de cartões de créditos, logins e afins. Phishing e muitas outras fraudes virtuais são baseadas no uso de keyloggers, permitindo ao invasor a utilização desses dados supostamente confidenciais para fraudes, através de programas (keyloggers) previamente instalados nos computadores sem conhecimento ou autorização da vitima.

45 É sempre aconselhável que qualquer máquina ligada à Internet esteja protegida com um antispyware, uma firewall e de um bom antivírus para pelo menos tentar evitar este tipo de malware. Por vezes este tipo de programas pode ser usado por empresas para controlar os seus funcionários, no entanto, quase sempre é usado para fins maliciosos. Porém, os keyloggers também podem ser usados de forma legítima, e alguns utilizadores podem usá-los como backup permanente dos dados digitados num determinado computador, evitando assim uma possível falha, quer humana, caso um utilizador se esqueça de gravar um documento importante por exemplo, quer não humana, como por exemplo a falha de energia eléctrica ou qualquer motivo que possa causar o encerramento precoce e não calculado da máquina. Durante a execução de um keylogger, sempre que o utilizador prime uma tecla, o keylogger edita e guarda o LOG de dados, sendo que aos olhos mais atentos pode ser perceptível um ligeiro atraso entre o tempo que se digita e o tempo em que aparece no ecrã a tecla digitada, sendo que, mesmo assim, poderão ser apenas fracções de décimas de segundos, dependendo claramente da capacidade de processamento das máquinas. Com processadores de alta velocidade será quase impossível detectar esse atraso entre os dispositivos de Entrada e Saída. Alguns keyloggers podem ser configurados para guardar a informação a cada, por exemplo, 30 teclas premidas, ou então apenas guardar algumas teclas pré-definidas, sendo portanto, por vezes uma boa alternativa à auto-gravação dos editores de texto e afins[30,31] Ramsonware O Ransomware é uma ameaça informática que nos últimos tempos tem vindo a ser uma prática muito comum. O Ransomware, também conhecidos como sequestradores digitais, são trojans que após invadirem as máquinas impedem o acesso a várias funcionalidades e até documentos. Estes ataques podem ser de tal forma eficientes que por vezes podem codificar/encriptar os dados, recorrendo a algoritmos bastante eficientes, e para voltar a aceder ou voltar a ter acesso a esses dados, o invasor pede ao utilizador um montante monetário para que possa ter de volta todos os seus dados, ficheiros, etc. 19

46 Em Portugal, o exemplo de Ransomware com mais impacto social foi uma burla informática que usou o nome da PSP e tinha como objectivo principal extorquir dinheiro aos utilizadores. As vítimas recebiam um supostamente da PSP, onde era referido que este tinha acedido a sites de conteúdo pornográfico, pedofilia, violência sobre menores, pelo que é condenado a pagar 100 euros. Desta forma o utilizador é intimidado a proceder ao pagamento de 100 para um NIB, evitando assim o bloqueio do computador, sendo que, o não era da PSP, mas sim de um parecido com o que poderia ser da PSP. A melhor prevenção contra os ransomwares é fazer backup dos dados. A cópia periódica de ficheiros importantes numa unidade externa e segura garante que não haverá problemas maiores no caso de uma infecção nos ficheiros originais. Apesar de não ser o principal foco dos programas de antivírus, a protecção contra este tipo de ameaça é integrada na maior parte dos softwares confiáveis do mercado. Como os ataques mais frequentes envolvem empresas, a cautela com a segurança deve estar em dia e a rede deve ser monitorizada constantemente[32,33]. 2.6 Stuxnet O Stuxnet é o exemplo actual e mais conhecido a larga escala de uma botnet desenvolvida com fins políticos, não só porque foi bem concebido mas também para os fins que aparentemente foi criado. O worm em questão foi concebido especificamente para atacar o sistema SCADA [34], previamente criado pela Siemens para controlar as centrifugadoras de enriquecimento de uránio iraniano. É considerado como o primeiro grande vírus de espionagem industrial e ao que se crê ate ao momento foi concebido ou por Israel ou pelos EUA, pelo que ainda permanece uma incógnita. De acordo com declarações feitas por Mikka Hypponen, pesquisador-chefe da companhia finlandesa de segurança F-Secure, "isso não foi um simples trabalho de um hacker sozinho no seu quarto, à frente do seu computador" [35]. A complexidade deste worm é de tal ordem que é capaz de reprogramar um Controlador lógico programável (CLP), que basicamente é um computador especializado que tem por base um microprocessador que desempenha funções de controle através de softwares elaborados pelo utilizador e esconder as suas mudanças [36]. Apesar das capacidades deste worm, era inofensivo em sistemas operativos como o Windows e Mac OS X. Ao que empresas como a

47 Symantec ou a Kaspersky conseguiram apurar, as infecções à volta dos 60%, ou seja, dos 100 mil computadores infectados, eram iranianos e que procuravam unicamente um tipo de hardware e software da Siemens [37]. A sua descoberta teve origem nos laboratórios da empresa de antivirus russa Kaspersky LAB, que dado o seu conhecimento emitiu um comunicado dando conta que: "Um protótipo funcional e temível de uma cyber-arma que dará início a uma nova corrida armamentista no mundo." Este ataque é considerado como o primeiro ataque a um alvo governamental em larga escala, pelo que já muitos especialistas na area consideram o que poderá ser o 1º de muitos ataques de uma possível cyberguerra que se poderá instalar num futuro próximo[38]. O aviso foi lançado e já ataques semelhantes foram levados a cabo como o Flame e mais recentemente o "Gauss" (considerado primo do Stuxnet) têm já marcado algum espaço e preocupação na área. 21

48 Capítulo 3 3 Estado na arte na Detecção de Botnets Segundo [39] Malware é um nome abreviado para software malicioso, é qualquer tipo de software indesejado, instalado sem o seu devido consentimento. Vírus, worms e cavalos de troia são exemplos de software mal-intencionado que com frequência são agrupados e chamados, colectivamente, de malware. De acordo com [40] o termo bot é uma abreviatura de robô. Os criminosos distribuem software malicioso (também conhecido como malware) que pode transformar o seu computador num bot (robô) (também chamado zombie). Quando tal acontece, o seu computador pode executar tarefas automatizadas através da Internet, sem o seu conhecimento. Os criminosos utilizam normalmente bots para infectar um grande número de computadores. Estes computadores formam uma rede ou uma Botnet. Os criminosos utilizam as botnets para enviar mensagens de spam, disseminar vírus, atacar computadores e servidores e cometer outros tipos de crimes e fraudes. Se o seu computador fizer parte de uma botnet, pode tornar-se lento e inadvertidamente pode estar a ajudar os criminosos. Nos últimos anos, a diversidade de malware cresceu quase exponencialmente. Novas variantes aparecem todos os dias, com melhoria constante das técnicas usadas e cada vez mais com mais sofisticação. O crescimento no número de amostras é sintomático da aplicação generalizada do conceito de polimorfismo para ficheiros de malware binários. Os Malwares polimórficos contêm uma sequência de código fixo que modifica o código binário do malware durante a propagação,

49 mas mantém-se inalterado nele mesmo. Os Malwares Metamórficos são mudados completamente dentro de cada tentativa de propagação. Polimorfismo e metamorfismo são apenas dois exemplos de técnicas utilizadas por quem cria e desenvolve os malware para atingir os seus objectivos. 3.1 Técnicas de Detecção de Botnets Após algumas pesquisas sobre as técnicas de detecção de botnets, examinamos alguns dos trabalhos já existentes na detecção e compreensão de botnets. Observamos que essas técnicas estão standardizadas, pois parece-nos que o estudo delas recai já em técnicas previamente conhecidas e divulgadas por órgãos da especialidade, diferindo só no tipo de ambiente em que são aplicadas Mecanismos de Detecção de Botnets Para aprender tecnicas contra as botnets é necessario explorar o clico de uma botnet, para assim dificultar ao máximo a sua tarefa. Para uma primeira abordagem no desenvolvimento de mecanismos de detecção recorria-mos ao sistema de analise de signatures dos bots, o sistema é baseado em em modelos de detecção que são orientados ao simples facto de que um bot recebe comandos de um botmaster e ao qual é respondido ao pedido de forma caracteristica. Com o estudo destes comportamentos cooperativos foram aparecendo novas ferramentas de detecção, entre elas o BotHunter[41] que modelou a fase de infecção, recorrendo a um conjunto de comandos vagamente ordenados entre um host interno e diversas entidades exteriores e usou estes modelos de modo a comparar eventos suspeitos no aparecimento de infecções. O BotMiner [42] propôs uma framework de detecção que utiliza um mecanismo de monitorização nos canais de comunicação C&C monitorizados, e nas actividades maliciosas. Akiyama et al. [43] definiu um sistema de 3 métricas para determinar o comportamento das Botnets, precavendo que o tráfego das mesmas é executado regularmente nos seguintes pontos: relacionamento, resposta e sincronização [45]. Basicamente, a relação representa a ligação entre o Botmaster e o bot sobre um protocolo único. Mesmo não tendo uma ligação directa sobre a camada de transporte, pode existir um 23

50 relacionamento numa camada superior. A análise da resposta recai sobre o facto de que quando um host seguro de rede recebe uma mensagem, o mesmo responde ou executa uma acção após um tempo variável. Por outro lado, quando um bot recebe um comando do seu Botmaster, este responde com actividades pré-programadas com um tempo constante de resposta. Na sincronização, assume-se que todos os bots se encontram sincronizados uns com os outros, e que irão executar simultaneamente acções do género: ataques de DDoS, envio de relatórios de actividade, etc. Portanto, a partir destas acções torna-se possível pressupor que podemos detectar grupos semelhantes e suspeitos de botnets monitorizando a quantidade de tráfego ou acções que possam ser executadas de forma especifica por eles. Figura 3- Relação, resposta e sincronização. Consequentemente foram surgindo algumas propostas de detecção de Botnets baseadas em padrões de ataque. Brodsky et al. [46] baseou-se no pressuposto de que as Botnets tendem a enviar grande número de Spam num período relativamente curto de tempo, e num método semelhante Xie et al. [47] usou propriedades de tráfego de Spam de servidores e spam, de forma a construir uma framework de detecção.

51 Metodologia de Complexidade Detecção Velocidade de Abrangência Propagação Propagação Serviços Operativos Média Alta Baixa Alta Serviços Média Média Média Média Aplicações Alta Baixa Alta Baixa Engenharia Social Baixa Média Baixa Alta Tabela 1-Mecanismos de Propagação[48]. Topologia Detecção Complexidade Valor de Ataque Host DDoS Alta Baixa Baixa Multi Host DDoS Média Média Média Roubo de Identidade Baixa Alta Média Spam Média Média Alta Phishing Média Alta Média Tabela 2-Tipos de ataques[48]. Topologia Complexida Detecção Latência de Tempo de Vida de Mensagem Centralizada Baixa Média Baixa Baixa Peer-to-Peer Média Baixa Média Média Desestruturada Baixa Alta Alta Alta 3.2 Honeypot Tabela 3-Topologia Command and Control[48]. Segundo [49] um honeypot é um recurso de rede cuja função é de ser atacado e comprometido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável. É um sistema que possui falhas de segurança reais ou virtuais, colocadas propositadamente, a fim de que seja invadido e que o fruto desta invasão possa ser estudado. Como o próprio nome indica, HoneyPot e traduzindo a palavra à letra indica pote de mel, mas a ideia que aqui nos interessa saber e estudar é: um HoneyPot ou pote de mel não é mais que uma armadilha para atrair terceiros ao nosso sistema. Vejamos isto como caçar ursos. Uma das possíveis armadilhas para atrair um urso ate nós seria termos um pote de mel em condições privilegiadas, ou seja, expondo-o de forma tão fácil que um urso que esteja nas redondezas possa ser atraído para lá e com isso cair na nossa armadilha. Passando isso para a linguagem 25

52 ao nível da informática, é como expor algo como um sistema apetecível (desprotegido) a invasões de terceiros para com isso conseguirmos identificar e seguir caminhos lógicos que nos possam vir a ser úteis no combate a ataques reais feitos a máquinas reais Tipos e níveis de Honeypots Quanto à classificação de honeypots, podemos dizer que existem dois tipos de HoneyPots, os de Produção e os de Pesquisa. Os de Produção têm por finalidade a distracção de possíveis ameaças na máquina, ou seja, serve como meio de alerta na rede de computadores. Por norma não englobam nada de muito elaborado sob o ponto de vista técnico ao seu funcionamento, o que facilita já por si o seu uso. Quanto aos honeypots de pesquisam visam essencialmente a monitorização do sistema em si ou seja, estuda o comportamento do utilizador que tenta atacar o sistema possibilitando assim o estudo dos seus métodos de ataque e até mesmo os comandos digitados. Comandos esses que posteriormente serão alvo de estudo aquando da análise da investida levada a cabo por parte do utilizador alheio ao sistema. Passando esta breve introdução dos tipos de HoneyPots podemos, agora entrar no campo de níveis de interactividade que os HoneyPots podem ser capazes de reproduzir. Até ao momento, as interactividades estão classificadas em 3 níveis possíveis, sendo elas: baixa interacção, média interacção ou alta interacção. Comecemos por explicitar os de baixa interacção. Um honeypot deste nível é capaz de emular serviços de rede, mas com o contra de que a sua capacidade está limitada ao momento em que o intruso entra no sistema, ou seja consegue entrar mas a partir dai não existe outra acção possível. A função dos de baixa interacção cinge-se apenas à detecção de intrusos no sistema, ou seja, pode ser englobado no tipo de Honeypot de Produção. Quando comparados com sistemas de IDS, os de baixa interactividade também registam e detectam ataques, são capazes de responder a logins de forma simples, enquanto que um IDS base permanece passivo. O intruso só consegue aceder ao serviço emulado. O sistema base não é assim penetrável por parte do intruso, o que torna este nível bastante seguro e de baixo risco para com o sistema. Nos níveis de média interacção, um HoneyPot é capaz de emular um serviço completo ou até mesmo explorar uma vulnerabilidade específica. Um ponto a favor neste nível é também a capacidade de emular na totalidade o comportamento de um IIS Microsoft

53 (servidor web). É um nível similar ao de baixa interacção pois também está incluído no tipo de Produção e também tem como objectivo a detecção de intrusos. Este tipo de nível é instalado como aplicação num OS e apenas disponibiliza aos utilizadores os serviços emulados à partida. Ao passar para os de Alta interactividade passamos também para um nível mais elaborado e completo, pois estamos a falar de um serviço capaz de emular um sistema operativo na sua totalidade ou então um sistema base real que poderá servir como uma monitorização adicional. Este tipo de interactividade já difere dos antes mencionados pois já se insere também no tipo de Pesquisa, não pondo totalmente de lado a Produção. Devido ao seu grau de elaboração, que podemos dizer de alguma complexidade, é também alvo de um risco mais elevado, pois ao ser atacado de forma mais eficiente e elaborada facilmente pode comprometer o sistema que serve como base e assim podendo ser alvo de ataques de rede que podiam provocar perdas de largura de banda ou criando um enorme volume de tráfego ao sistema, tornando-o menos eficiente em resposta aos serviços fornecidos[49] Vantagens de Honeypots A utilização ou não de um Honeypot obviamente se prende nas vantagens que o seu uso nos oferece. Como em todos os tipos de serviços, o seu uso depara-se sempre com as possíveis vantagens que nos possa trazer, quanto mais e melhores vantagens nos oferecer melhor e com mais facilidade se poderá implementar o serviço em questão. Os Honeypots não possuem um problema em específico, na verdade são diferentes de outro tipo de mecanismos no combate à intrusão de terceiros no nossos sistema, como firewalls e IDS. Os HoneyPots podem ser uma grande ajuda na área da segurança de uma rede, pois conseguem ajudar na prevenção e solução de problemas nesta área. Assume-se logo à partida que qualquer ataque ao nosso honeypot deve ser logo considerado como suspeito e devendo ser o mais breve possível alvo de análise. Segundo [49], podemos enumerar á partida 6 vantagens: Na recolha de dados, o facto de não ser um sistema real de produção, apenas recebe os dados destinados ao honeypot, podendo os dados assim, serem alvo de uma análise mais cuidada. 27

54 Em termos de redes convencionais, as ferramentas usadas apenas analisam os ataques já conhecidos, ao contrário dos honeypots que guardam qualquer tráfego da rede Ao nível da criptografia de dados, os dados podem ser capturados de forma legível, mesmo estando encriptados por serviços de SSH. A formatação e precisão dos dados recebidos pelo honeypot são também uma vantagem, porque torna mais fácil e concisa a análise dos dados recebidos. No uso desta tecnologia não há necessidade de desenvolver algoritmos complexos, ou de uma manutenção alargada, sendo que a simplicidade dos honeypots é considerada também uma vantagem Desvantagens de Honeypots Como em todos os sistemas, existem sempre algumas desvantagens, já um sistema nunca consegue ser 100% vantajoso. Os Honeypots não fogem à regra e possuem algumas desvantagens o que perfaz que com os Honeypots só por si não sejam um substituto também aos actuais mecanismos de defesa, mas complementando-se com eles. Podemos definir algumas dessas desvantagens em coisas como a visão limitada do problema, ausência de tráfego, problema com a identificação da situação e o risco que corre ao receber um ataque muito bem direccionado. Comecemos então por explicar da melhor forma cada uma das possíveis desvantagens do uso de um Honeypot [49]. Um honeypot tem por base apenas monitorizar actividades direccionadas a si mesmo, o que poderá levar a que quando um intruso consiga entrar no sistema e que por sua vez consiga ter acesso ao sistema base, o honeypot não conseguirá detectar, a não ser que receba ele também um ataque por parte do intruso. Podemos assim afirmar que é limitado ao nível do ataque proferido (Visão Limitada). O honeypot foi concebido e idealizado com o propósito de receber ataques. Se não existirem ataques, o mesmo se torna inútil e não funciona como uma vantagem ao sistema (Ausência de Tráfego).

55 Uma outra forma de comprometer o sucesso de um honeypot e que por si pode tornarse numa grande desvantagem é o facto de o intruso poder comprometer o sistema. Por outras palavras, o intruso pode induzir em erro quem analisa os dados gerados de um honeypot no sentido de poder executar comandos que tornem a passagem do intruso dentro do sistema como um comportamento normal (rotineiro) e esperado pelo honeypot. Outro facto adjacente é o de o intruso poder-se aperceber que está num honeypot. Pode com isto levá-lo também a evitá-lo e ir-se focar em outros pontos da rede, podendo claramente inserir informações maldosas no sentido de confundir e levar a quem tentar analisar estes dados a tirar falsas conclusões sobre o ataque, criando assim uma falsa falha de segurança na rede (Identificação). O risco do comprometimento do sistema é algo bastante presente e varia consoante o nível de interacção usado entre o intruso e o honeypot. Como vimos anteriormente em honeypots de alta interactividade, são estes os mais expostos a riscos graves. O problema aqui pode ser o facto de podermos vir a servir como uma botnet em ataques orientados pelo intruso, pois como a complexidade usada é também maior, o risco de servirmos para o oposto e partirmos como possíveis aliados do intruso é uma grande e arriscada desvantagem, pois é claramente o que não se pretende com a implementação e uso deste sistema. 3.3 Honeynet A Honeynet é uma rede de honeypots, actuando como uma infraestrutura preparada e com o objectivo de monitorizar e analisar toda a actividade nos sistemas. O uso deste tipo de aplicações é vital no que à pesquisa e detecção de acções ou software malicioso diz respeito. Desta forma, qualquer ataque bem-sucedido representa uma nova falha no sistema e que pode ser logo alvo de um estudo mais aprofundado e, dessa forma, tentar evitar um segundo ataque semelhante ao primeiro. Actualmente existem dois tipos de HoneyNets: as Reais e as Virtuais. Ao nível das HoneyNet reais, podemos dizer que além de serem físicas são compostas de mecanismos de contenção, de alteração e de obtenção de informação. Uma honeynet típica é constituída por vários honeypots e uma firewall com o intuíto de registar e limitar em logs o tráfego gerado na rede[49,50]. 29

56 3.3.1 Tipos de honeynet Como anteriormente dissemos, existem dois tipos de honeynet, reais e virtuais. Para optarmos pelo tipo de honeynet que pretendemos usar devemos ter em conta, principalmente, o objectivo, investimento disponível para a infra-estrutura e a necessidade de utilização da honeynet Honeynet Real Uma honeynet real é a melhor solução para correr uma honeynet completa num único computador. A singularidade de dar a esta solução de Real, prende-se com o facto de ser necessário emular diferentes sistemas operativos os quais diferem sobretudo na sua aparência e como conseguimos por um sistema destes completo num único computador esta, camuflagem torna bastante real e credível todo o sistema em si. Esta tecnologia é composta por vários dispositivos físicos que colaboram na detecção e captura de informações de ataques. Sendo que alguns destes dispositivos actuam no controlo de tráfego, como por exemplo, routers, firawall e IDS, os honeypots são responsáveis pela captura e armazenamento das informações de ataques, são ainda compostos por sistemas reais, que podem usar vários sistemas operativos e completamente independentes numa só maquina se assim o quiserem. Em síntese, ficam aqui algumas das vantagens e desvantagens no uso desta tecnologia[49,50,51]: Vantagens: Maior nível de interacção com o intruso; Dispositivos reais; Captura de informações precisas; Ambiente distribuído e tolerante a falhas; Desvantagens: Complexidade na manutenção; Necessidade de espaço físico maior Dificuldades na instalação e administração;

57 Custo de implementação elevado; Figura 4-Exemplo clássico de uma Honeynet Real Honeynet Virtual Honeynet Virtual foi criada/pensada com o intuito de reduzir os custos de implementação de uma honeynet, que consiste simplesmente na instalação e configuração de um computador que virtualiza vários componentes e computadores[49,50,51]. Vantagens: Custo reduzido (menor gasto com equipamentos e energia eléctrica); Espaço físico reduzido. Simples instalação e administração, se comparado com uma honeynet real; Gestão fácil; Desvantagens: Limitação nos sistemas operativos e serviços oferecidos pelos programas de virtualização; Se o software de virtual for comprometido, o invasor pode dominar e controlar toda a honeynet virtual; Interacção com o invasor é inferior se comparado com a honeynet real. 31

58 Figura 5-Exemplo clássico de uma Honeynet Virtual. 3.4 HoneyD(em ambiente Linux e em Windows) O Honeyd é uma ferramenta desenvolvida e mantida por Niels Provos da Universidade de Michigan e que tem como objectivo criar hosts virtuais numa rede. Surgiu, em Abril de 2002, e desde então tem tido um grande crescimento nas pesquisas e descobertas de ataques. É uma ferramenta que teve uma aceitação muito grande, visto que é desenvolvida e distribuída de forma gratuita, sendo que tem uma grande flexibilidade em ser adaptada a qualquer estrutura e pode ser usada tanto em windows como em qualquer derivação de Unix, simulando vários hosts virtuais ao mesmo tempo numa rede. Pode assumir qualquer sistema operativo, sendo estes configurados para oferecer diferentes serviços como TCP/IP, como HTTP, SMTP, SSHentre outros. É possível no honeyd simular redes inteiras, compostas por routers (etc), sendo que um HoneyD já foi testado com hosts em simultâneo. Utilizando a técnica de ARP Spoofing, é possível assumir um endereço IP que não esteja em uso, utilizando assim esses endereços para criação de honeypots virtuais que irão responder a requisições e interagir com o invasor [52, 53, 54].

59 3.4.1 Arquitectura do HoneyD O HoneyD processa todos os pacotes a que tem acesso, isto é, todos os pacotes que chegam ao Honeyd são verificados através do checksum 1, para verificar a sua integridade, sendo que o HoneyD suporta os protocolos TCP, ICMP e UDP, e apesar de registar outros protocolos estes são descartados por não serem suportados pelo HoneyD. É usada a base de dados da configuração para encontrar um honeypot que corresponda ao destino do endereço de IP. Caso não haja nenhuma configuração previa, é usado o modelo pré-definido. Nos protocolos TCP e UDP são estabelecidas ligações para serviços arbitrários (que podem ou não ser personalizados) sendo estas emuladas por scripts no Honeyd. Estes serviços são aplicações externas que recebem e enviam os dados numa saída standard/padrão. Quando é recebido um pedido de ligação, o daemon verifica se o pacote faz parte da ligação estabelecida, se o pacote pertencer a uma ligação estabelecida, os dados são enviados para o programa de serviços já iniciado, caso o pacote contenha um pedido de ligação, é criado um novo processo parar executar o serviço. No entanto, o HoneyD não cria um novo processo por cada ligação, apenas gera subsistemas e serviços internos, sendo que o subsistema é uma aplicação que é executada pelo honeypot virtual. Este subsistema é responsável por ligar portas, iniciar tráfegos, aceitar ligações. Um subsistema é executado como sendo um processo externo enquanto um serviço interno é executado dentro do HoneyD. O Honeyd tem uma máquina de estados TCP, utilizado para estabelecer ligações enquanto os pacotes UDP são enviados directamente. Se receber um pacote UDP para uma porta fechada, o daemon responde com uma mensagem ICMP informando que a porta não está acessível (ICMP port unreachable). Ao proceder desta forma, o daemon permite que ferramentas de rede como o traceroute 4 funcionem correctamente. 1 Checksum ou soma de verificação é um código usado para verificar o numero de bits que estão a ser transferidos, verificando a integridade de dados transmitidos. 4 Ferramenta que permite descobrir o caminho percorrido pelo pacote desde o inicio até ao seu destino. 33

60 O Honeyd também proporciona redireccionamento de ligações externas para serviços reais, visto o daemon poder redireccionar, isto é, um servidor web pode estar a ser executado num honeypot virtual e ser redireccionado para um servidor real. Existe também a possibilidade de redireccionar o ataque de volta há sua origem, isto é, ao próprio invasor. O conteúdo dos pacotes é processado pelo motor de personalidade, antes de serem enviados para a rede para que estes pareçam verdadeiros da pilha TCP/IP. Todos estes mecanismos têm como finalidade ludibriar o invasor para que este tenha percepção que está num ambiente real[52, 53,54] Funcionamento do HoneyD O honeyd foi concebido para processar pacotes de rede em que o destino é o endereço IP que pertence aos honeypots virtuais. Assim sendo, é necessário utilizar métodos que permitam ao Honeyd receber o tráfego da rede. Existem duas maneiras, um delas é no router que dá acesso ao host Honeyd, criar rotas especiais para os endereços IP virtuais, sendo que neste método é normalmente utilizado onde não existem sistemas activos. Normalmente é apenas utilizado onde existe unicamente o Honeyd. Se for um serviço real activo, todo o tráfego existente na rede é considerado ataque, sendo que todo esse tráfego é posteriormente direccionado para os honeypots virtuais. Outro possível método corresponde a uma topologia onde o host Honeyd é inserido num ambiente de produção real, sendo que neste caso seja necessário utilizar o programa como ARP, apesar de ser uma forma mais complexa de direccionar o tráfego utilizando métodos de ARP Spoofing ou Proxy ARP. O ARPD atende as requisições ARP monitorizando os endereços IP identificados na rede como não activos e determina o endereço MAC dos honeypots virtuais. Quando surge um ataque a um determinado endereço IP que não existe, o Honeyd assume esse endereço IP, assume o papel de vitima e interage com o invasor. Após o primeiro contacto, na primeira troca de informação é identificado o serviço usado pelo invasor, sendo as configurações do Honeyd consultadas. Se a porta requerida pelo serviço que

61 o invasor está a utilizar estiver disponível é iniciada a interacção entre o Honeyd e o invasor. As configurações principais do Honeyd estão no ficheiro honeyd.conf. O ficheiro honeyd.conf contém as características dos dispositivos virtuais assim como a personalidade dos serviços que podem ser usados pelo invasor. O Honeyd recorre à utilização de scripts para emular serviços disponibilizados pelos hosts virtuais. Os scripts usados pelo Honeyd podem ser desenvolvidos ou simplesmente adquiridos na comunidade científica. O nmap.prints é outro ficheiro que é normalmente utilizado, que contém as impressões digitais de todos os sistemas operativos que podem ser emulados pelo Honeyd. A tabela de assinaturas utilizada é a mesma que a do Nmap, sendo que esta ferramenta (Nmap) é muito utilizada para identificar portas abertas e tipos de sistemas operativos. É sempre importante e crucial manter o ficheiro actualizado na versão mais recente, de modo que seja possível ter um comportamento ilusório e o mais real possivel perante o invasor. A criação de hosts virtuais que permite a concepção de topologias de redes inteiras e virtuais completas, com routers, servidores, clientes e firewall é possível através da emulação de vários serviços e sistemas operativos[52, 53, 54]. 3.5 Valhala Honeypot(em ambiente Windows) O Valhala Honeypot é uma ferramenta que foi criada por Marcos Flávio Assunção, sendo este desenvolvido para o Windows dando a possibilidade de emular vários serviços como http (web), ftp, tftp, finger, pop3, smtp, echo, daytime, telnet and port forwarding. Este software é freeware[55]. Existem ferramentas mais poderosas e complexas do que o Valhala mas com licenças pagas, e após várias pesquisas descobrimos o Valhala, sendo provavelmente dos softwares livres mais completo. 3.6 IDS(Intrusion Detection System) Um IDS (Instrusion Detection System) define-se como um conjunto de componentes tanto ao nível do software como do hardware, em que a sua principal função é detectar, identificar e responder a actividades anormais na rede ou num sistema informático, actividades essas que 35

62 contrariam o normal funcionamento num sistema. Um IDS por defeito é essencialmente constituído por 3 funções: os sensores, cuja função é gerar alertas/eventos de segurança, a consola que controla e monitoriza os alertas e por fim o motor, que, baseando-se nas regras de segurança impostas gera, alertas a partir dos eventos de segurança, ou seja é a parte que une os sensores e a consola, a parte funcional e a que regista os acontecimentos por exemplo numa base de dados. O IDS é ainda caracterizado em 3 características operacionais [56]: Característica Operacional Método de Detecção Recolha dos Eventos Reactividade Classificação Baseada em conhecimento Baseada em comportamento Máquinas Redes Hibridos Activos Passivos Tabela 4-Caracterização de IDS. Um dos caminhos a seguir na utilização de um IDS é o uso recorrente a host-based, analisando assim o tráfego da rede de forma individualizada. Com a utilização assente em host-based o IDS é instalado no servidor e funciona como mecanismo de alerta e de identificação de ataques bem como tentativas de intrusão à máquina SSL, IPSec e outros Quando um IDS é responsável por monitorizar uma rede e tendo em conta uma das suas formas de funcionamento é basear-se no facto de analisar os cabeçalhos e os dados dos pacotes, com vista a detectar logo possíveis alterações que possam prejudicar o sistema, tanto ao nível da intrusão como a da infestação. Com isto é recorrente a utilização de bons canais de informação, canais esses que enviam a informação de forma segura a administradores de rede, para isso e como é de vital importância que esses dados cheguem de forma segura, existe a necessidade de se recorrer a serviços como o SSL, IPSec, entre outros. Ao implementar estes serviços devemos ter em conta a criptografia usada, pois é um elemento fundamental na transmissão de dados e vital à segurança da rede. Esta codificação pode ser usada no cabeçalho do pacote ou mesmo ate no pacote inteiro, dificultando assim aquando de um desvio dessa informação se tornar mais difícil a percepção e uso dela. Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do TCP/IP,

63 cifrando assim a área de dados dos pacotes. Desta maneira, os sistemas IDS não têm como identificar o conteúdo dos pacotes para terminar as conexões ou até mesmo interagir com uma firewall. Outro exemplo apresentado é o IPSec, que se define como sendo uma extensão do protocolo IP que é bastante utilizada em serviços como os de VPN. O IPSec é semelhante ao SSL, protegendo ou autenticando unicamente a área de dados do pacote IP. Já no modo túnel o pacote IP inteiro é cifrado e encapsulado. Um IDS pode verificar o cabeçalho do pacote, enquanto no modo túnel nem o cabeçalho e nem a área de dados podem ser verificados IDS em redes com switches Em redes com switches, estes equipamentos encaminham directamente as tramas da porta de origem para a de destino. Esta grande e boa característica leva-nos a esbarrar em algumas barreiras como a dificuldade de implementação de um IDS quando comparado com redes de transmissão por difusão (broadcast), ou seja um dispositivo consegue emitir para um conjunto de dispositivos receptores seja através do espaço ou por cabo. Neste tipo de rede, os dados interagem de forma directa com os seus destinos (sem a difusão), abrindo assim espaço ao uso de Port Span (serviço mais utilizado), Splitting Wire, Optical Tap e Port Mirror. Estas são formas possíveis de implementar um IDS num switch [57]. Port Span: Esta forma de implantação parece ser a mais desejada e a mais utilizada numa implantação de um IDS num switch. Um IDS neste caso é conectado à porta SPAN (Switch Port Analizer), recebendo assim todo o tráfego do switch, obtendo assim todo o tráfego de forma completa e monitorizado simulando um ambiente partilhado. Alguns switchs já vêm equipados com características de monitorização como VLAN s especificas, distribuição da monitorização para várias portas de destino e portas em trunking 2. 2 é a agregação de duas ou mais ligações lógicas a fim de alcançar uma conexão lógica de alta velocidade. Um exemplo disto é a conexão entre 2 switchs e 3 cabos fast Ethernet. 37

64 Splitting Wire/Optical Tap: A utilização desta forma de implementação baseia-se num sistema de escuta que irá monitorizar todo o tráfego que passa pelo sistema de escuta. Actualmente há dispositivos que podem ser ligados entre um switch e um equipamento de rede, que de forma não invasiva enviam uma cópia de todo o tráfego que passa por lá e enviam para um sistema de monitorização IDS. Um exemplo deste sistema é o que se encontra na Figura 5. Este tipo de recurso pode ser usado para cabos de cobre (UTP) 3, regularmente utilizados em redes Ethernet como para fibras ópticas, onde por exemplo se pode monitorizar o tráfego ATM 4. Neste caso utiliza-se um dispositivo chamado Optical Tap como podemos ver um exemplo na Figura 6. Figura 6 Monitorização de pacotes em rede Ethernet, utilizando hubs ou wire tap. Figura 7 Optical Tap. 3 Unshielded Twisted Pair ou Par Trançado sem Blindagem, usado em redes domesticas, taxas de 100Mbps, o mais barato ate distâncias de 100m. 4 Asynchronous Transfer Mode ou Modo de Transferência Assíncrono, onde a capacidade de transmissão, o tipo de tráfego e a qualidade de serviço são usados e quantificados.

65 Port Mirror: Nos switches mais antigos esta prende-se como sendo a única opção no que à monitorização diz respeito. Esta forma consiste num efeito espelhado do tráfego de uma porta para uma outra, ou seja, permite a monitorização de um dispositivo por IDS. Esta implementação é feita no próprio switch, sendo uma forma baseada no wire tap. É um sistema caro no que à sua implantação diz respeito, embora hoje em dia existam bastantes alternativas que conseguem monitorizar mais segmentos em simultâneo, reduzindo assim o custo. O uso do Port Mirror é mais aconselhável na implantação de uma rede hierárquica como exemplificado na Figura 7. Figura 8- Switch com Port Mirror numa estrutura hierárquica. A implementação de um IDS numa rede apresenta sempre algumas dificuldades, desde as características do switch, o custo elevado, implementação avançada, etc. Por isso devemos ter em conta que a implementação de um serviço destes requer um estudo aprofundado e prévio, tendo em consideração os recursos, as limitações dos equipamentos, etc. 3.7 Snort (em arquitectura Linux e Windows) O Snort foi criado em 1998 por Martin Roesch, sendo um Sistema de Detecção de Intrusos(IDS) open source capaz de analisar em tempo real o tráfego de uma rede. Actualmente o Snort é um dos IDS mais usados em todo o mundo, tendo cerca de utilizadores registados. 39

66 Pode ser usado para detectar um grande variedade de ataques, mas tem como 3 principais usos, sniffer de pacotes como tcpdump, um registo de pacotes (para análise do tráfego de rede) e um sistema de prevenção de intrusos bastante desenvolvido/amadurecido. Sendo Open Source e um IDS muito popular e desenvolvido, possui uma vasta comunidade, havendo assim bastante suporte para a revisão de bugs e testes. Havendo assim, muitos programadores e individualidades com o intuito de melhorar o Snort, sendo que é do interesse de todos os seus utilizadores que este seja o mais seguro e completo possível. Como a Comunidade Snort é "aberta" a todos os utilizadores é mais fácil e rápido detectar e corrigir erros e outras possíveis ameaças de segurança do que num ambiente "fechado". Como foi descrito em Capitulos anteriores, o Snort, como IDS que é (Sistema de detecção de intrusos) tem como finalidade inspeccionar toda a actividade de entrada e/ou saída de uma rede assim como identificar padrões suspeitos que possam indicar que uma determinada rede ou sistema está a ser vitima de uma invasão ou tentativa de invasão. Por vezes um IDS pode ser confundido com uma firewall, porque a firewall inspecciona o tráfego e restringe o mesmo baseada em regras especificas. O IDS avalia/analisa o tráfego para determinar se este é suspeito ou não e gera alertas baseados nessas análises ao tráfego[58, 59, 60, 61] Arquitectura/Funcionamento do Snort O libpcap é um aplicativo necessário para que o Snort processe/recolha informação, isto é, o libpcap é uma biblioteca externa ao Snort que captura pacotes para posteriormente os descodificar, suportando vários protocolos de nível 2, como ethernet, PPP e SLIP. Há medida que esses pacotes são descodificados são armazenados na estrutura de dados do Snort para futuramente serem analisados. Os pacotes vão sendo recolhidos e o Snort vai descodificando mediante o protocolo especifico do pacote em causa. O pacote de descodificadores é basicamente uma série de descodificadores em que cada um é destinado a descodificar um protocolo especifico. Há medida que os pacotes vão passando pelos respectivos descodificadores de protocolos, vai sendo criada uma estrutura de dados. Após esse armazenamento dos dados tratados pelo

67 descodificador de pacotes, os dados ficam preparados para ser analisados pelo pré processador. Os pré processadores podem dividir-se em duas categorias. Podem ser usados para examinar os pacotes suspeitos ou modificar os pacotes para que estes sejam correctamente interpretados e analisados. Alguns ataques não são detectados através da sua assinatura, isto é, nem todos os ataques são detectáveis pelos mecanismos tradicionais, cabendo a estes pré processadores analisar a actividade suspeita. Estes pré processadores são indispensáveis para detectar possíveis ataques não convencionais. Por outro lado, os outros pré processadores são responsáveis pela normalização dos dados do tráfego para que o sistema de detecção possa eficientemente detectar as assinaturas do ataque. Com estes pré processadores evita-se que alguns ataques possam evadir-se do Snort enganando o sistema de detecção manipulando os padrões de tráfego. O sistema de detecção tem duas funções principais: utilizar as regras do Snort para analisar os ataques e detectar assinaturas de ataque, visto que o sistema de detecção constrói as suas assinaturas analisando as regras do Snort sendo que as regras só são carregadas quando o Snort inicia. As regras são carregadas e usadas mediante a ordem que o utilizador pretender, podendo o Snort ter o comportamento especifico para cada utilizador. As regras são compostas por duas partes: o cabeçalho da regra e a opção da regra. O cabeçalho da regra tem condições da assinatura, em que é possível especificar o protocolo, a origem, o endereço ip de destino, as portas e o tipo do registo. A opção da regra contém a assinatura real, assim como o nível de prioridade e alguma informação sobre o ataque. O sistema de detecção constrói uma árvore de decisão em lista ligada. Os nós da árvore testam cada pacote que entra no mecanismos de detecção. Por exemplo, um pacote ao chegar ao sistema de detecção é testado num dos nós para ver se corresponde a TCP. Se for, o pacote é passado para a parte da árvore que tem as regras TCP. O pacote é então testado para confirmar se corresponde a uma endereço de origem numa regra. Se corresponder, ele passa por todas as restantes regras. Este processo é repetido até que o pacote passe por todas as regras ou em caso negativo seja largado e o Snort não o capture. O Snort apenas testa um pacote após este coincidir com uma assinatura e por ordem sequencial, por isso torna-se imperativo organizar as regras para que as assinaturas mais maliciosas sejam carregadas primeiro. 41

68 O Snort recorre aos Plugins de saída para disponibilizar ao utilizador os dados processados pela ferramenta, tendo com único objectivo fornecer os dados/alertas para o utilizador. Alguns plugins são construídos unicamente para ler os dados do Snort e fazer output dos dados de forma mais compreensível e humana dos dados para o utilizador [58, 59, 60, 61]. Figura 9-Esquema da arquitectura do Snort.

69 Capítulo 4 4 Implementação de um Honeypot Pretende-se, neste capítulo, descrever a implementação de um sistema de detecção de Botnets na rede do IPB. Este projecto começou (parte prática) pela instalação e configuração de dois computadores disponibilizados pelo IPB, bem com uma sala para realizar os testes e monitorização necessários à realização da tarefa proposta. Começámos por instalar sistemas operativos diferentes, mas usando os mesmos programas quando disponíveis no sistema utilizado, para assim analisarmos diferentes performances e condições de acesso na rede. De seguida apresentam-se todos os detalhes das máquinas usadas: PC1 PC2 Sistema Operativo Microsoft Windows XP Linux Ubuntu LTS Precise Professional Versão 2002 Service Pack 2 Processador AMD Athlon 64 X2 Dual AMD Athlon XP 32 Core Processador Ghz Memoria 1G 1.5GB Disco 145G/149G 37GB IP Máscara Sub-Rede Gateway DNS MAC F-14-A6-E8 00:0b:6ª:72:20:fe Hardware Realtek RTL8139/810x Family Fast Tabela 5-Ficha técnica dos computadores utilizados. Depois de devidamente instalados e configurados os OS nas duas máquinas procedeu-se a uma análise de possíveis vulnerabilidades da máquina. Para executar esta tarefa usámos o LanGuard. Tentámos também sempre que possível usar os mesmos programas, de modo a que 43

70 se usá-se as mesmas funcionalidades nas duas máquinas de diferentes OS. Os programas utilizados em Windows foram: Nmap, LanGuard, Snort e Wireshark. Em ambiente Linux usou-se o Nmap, Wireshark, Snort e HoneyD. Após ultrapassada esta etapa, procedeu-se à fase de testes aos mesmos programas com vista a perceber-mos se os mesmos estavam configurados para com os propósitos propostos, realizados interna e exteriormente. Foram realizados testes esses como tentativa de invasão por ftp e telnet, subseven fomos percebendo e colmatando as falhas existentes bem como posteriormente o recurso a filtros para agrupar os dados que iam sendo recolhidos. 4.1 Implementação/Configuração do HoneyD Há inúmeras possibilidades para criar um Honeyd, desde a emulação de um sistema até centenas ou milhares de sistemas, sendo que cabe ao administrador do Honeyd decidir quantos sistemas precisa ou quer implementar. Para este trabalho, escolhemos usar 2 sistemas, um sistema windows 2000 e um sistema Linux Suse 8.0, como ilustra a imagem. Figura 10 HoneyD Implementado no Ubuntu No anexo A.1 detalha-se o processo de instalação da honeynet.

71 4.2 Implementação/Configuração do Snort O snort pode ser implementado de várias formas ou em várias instâncias, isto é, usado numa honeynet real, pode ser apenas uma máquina ou até várias máquinas (dezenas/centenas/milhares), dependendo apenas do propósito da implementação, disponibilidade física (hardware etc), disponibilidade económica, necessidade, do administrador, etc. Para este trabalho, usamos as máquinas disponibilizadas pela ESTiG, com o Sistema Operativo Ubuntu instalado e Sistema Operativo Windows XP. 4.3 Implementação/Configuração do Valhala Na implementação do Valhala usamos a versão mais recente(versão 1.8) disponível no site oficial[55]. A figura 11 mostra o menu de configuração do Valhala assim como todos os serviços que esta ferramenta pode emular. Figura 11-Menu de configuração do Valhala. 45

72 4.4 Descrição dos cenários de teste Após termos as máquinas configuradas como pretendíamos assim como as configurações do Snort, HoneyD e Valhala como é descrito em anexos e nos capítulos anteriores, dedicamos algum tempo a testes. Em anexo (no anexo A.3) descrevemos o comportamento do HoneyD, isto é, dos 2 sistemas emulados pelo HoneyD, sendo que os testes que fizemos foram meramente para testar a funcionalidade do HoneyD assim como do Snort. Após o término dos testes e antes de se dar início à recolha de dados para posterior tratamento para o Projecto, foram limpos todos os logs tanto do Snort como do HoneyD, de modo que apenas existissem dados reais e fidedignos. 4.5 Análise de Resultados Recolha de dados no HoneyD Durante o período de captura de dados, o HoneyD foi registando informações sobre os vários e diversos ataques que foi sendo sujeito. O log do HoneyD foi guardado no ficheiro /var/log/honeypot/honeyd.log. No anexo A.4 existe uma breve descrição do log, para melhor compreender os dados recolhidos pelo HoneyD. Figura 12-HoneyD em funcionamento, informação guardada no honeyd.log.

73 Ferramenta usada na análise dos dados do Honeyd Como complemento à análise de dados do HoneyD usamos a ferramenta Honeydsum, que como já foi mencionado no capitulo anterior organiza os dados do log e apresenta esses mesmo dados sobre a forma de gráficos (gráficos tipo coluna ou circular), tabelas e legendas Análise dos dados com o HoneyD Na Figura 13 estão registadas as ligações que foram estabelecidas com a nossa honeynet, sendo o numero total de ligações nos 2 hosts virtuais, a máquina Microsoft Windows 2000 Server SP3 ( ) e a máquina Linux (Suse) ( ). É possível concluir que dos protocolos disponíveis (TCP, UDP e ICMP) o protocolo TCP foi o mais requisitado ao longo do período de recolha de dados. Este protocolo também é o mais requisitado porque é alberga o maior número de serviços nos nossos 2 hosts emulados. Figura 13 Ligações recolhidas pelo Honeyd. Na Figura 14 podemos ver as ligações estabelecidas na máquina Windows e na máquina Linux, neste caso, a máquina Linux teve mais ligações que a máquina Windows, talvez por a máquina Linux em questão ter mais serviços disponíveis sendo que a mesma possui o seviço telnet. 47

74 Figura 14 Número de ligações por cada honeypot. A Figura 15 é composta por uma tabela que permite visualizar os IP's, portas usadas e número de ligações assim como um gráfico circular que apresenta as ligações e portas mais solicitadas relativas à máquina Windows ( ) sendo que a tabela é apenas uma parte devido ao seu tamanho. Figura 15-Registo do uso de portas na máquina

75 Na máquina Windows com o IP , foi possível ver e quantificar as tentativas de ligações às respectivas portas, sendo que esta teve um total de 4279 ligações, num 456 IP's distintos e 220 portas diferentes, como pode é visível na Figura 16. Figura 16 Número de ligações, IP's e portas da máquina Na Figura 17 pode ver-se relativamente à máquina Linux ( ) a tabela com os IP's, portas usadas e número de ligações, estando apenas uma parte da tabela devido ao seu tamanho considerável, e um gráfico circular relativo as portas e ligações efectuadas sobre a máquina Linux. Figura 17 Registo do uso de portas na máquina Como sucedeu com a máquina Windows, também para a máquina Linux foi possível quantificar as tentativas de ligações às portas, sendo registado um total de 5787 ligações, de 445 IP's em 226 portas diferentes como ilustra a Figura 18. Figura 18 -Número de ligações, IP's e portas da máquina

76 A Figura 19 corresponde aos 10 endereços de IP que mais ligações estabeleceram com o nossos honeypots, tendo neste caso concreto o endereço de IP que mais interagiu com a nossa honeynet um total de 528 ligações. Figura 19 Top 10 de ligações estabelecidas com a honeynet. Dados estes IP's recolhidos, resolvemos aprofundar um pouco mais e tentar descobrir de que parte do mundo surgiram os ataques. Usamos o serviço GeoIP disponível pela MaxMind , onde inserimos os endereços IP's no site e obtivemos as suas localizações como é demonstrado na Tabela

77 Rank IP de Origem Número de ligações Cidade País Utah USA Irão Lima Peru Atlanta USA Austin USA Harbin China Albania Central District Hong Kong Belfast Northern Ireland Taipei Taiwan Tabela 6-Origem e quantidade de ligações solicitadas. Na Figura 20 podemos ver os recursos que mais foram solicitados durante o período de recolha de dados. A maioria dos recursos solicitados corresponde ao previamente definido para as personalidades do Honeyd (como demonstra o anexo A3), sendo que algumas outras portas foram solicitadas apesar de estas não estarem definidas nas máquinas emuladas. Figura 20 Top 10 de recursos mais solicitados. As portas e os respectiv os serviços são definidos oficialme nte pela 51

78 IANA e para melhor compreender a natureza destes ataques fizemos uma pesquisa de modo que possamos entender quais os alvos mais frequentes destes ataques. 1-22/tcp - The Secure Shell (ssh) Protocol, usado para logins seguros, trnaferência de ficheiros (scp, sftp) /tcp - Microsoft-DS Active Directory, partilhas do Windows assim como Microsoft-DB SMB partilha de ficheiros. 3-23/tcp -Telnet Protocol- comunicação não criptografada de texto 4-110/tcp Post Office Protocol v3 (POP3) Protocolo de , sendo a par do IMAP um dos mais protocolos que prevalece para o envio e recepção de /tcp - Hypertext Tranfer Protocol (HTTP) /tcp - MSSQL (Microsoft SQL Server database management system) Server 7-3/icmp /tcp- Substituto de HTTP, geralmente usado para web proxy, servidor em cache ou para correr um servidor web sem privilégios de administrador /udp- 10-8/icmp- Echo request. Após esta leitura e análise é possivel concluir que o serviço SSH é o mais solicitado, seguindo-se o serviço de partilha do Microsoft Windows e o serviço por Telnet. A Figura 21 contém um registo por hora dos ataques que foram sendo registados ao longo dos dias onde se pode verificar que a hora em que os honeypots registaram mais actividade foi no período das 11:00h, sendo que nas restantes horas fai mantido um padrão constante de ataques

79 Figura 21 Registo de ligações por hora Re col ha de dados no Valhala 53

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Tutorial sobre Phishing

Tutorial sobre Phishing Tutorial sobre Phishing Data: 2006-08-15 O que é o Phishing? Phishing é um tipo de fraude electrónica que tem se desenvolvido muito nos últimos anos, visto que a Internet a cada dia que passa tem mais

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

COMUNICADO DE IMPRENSA

COMUNICADO DE IMPRENSA COMUNICADO DE IMPRENSA Os Trojans Zeus ressurgem e já representam 26,2% dos programas maliciosos no email As redes sociais continuam no primeiro posto da estatística das organizações mais atacadas pelos

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente.

Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente. TIPOS DE VÍRUS Principais Tipos de Códigos Maliciosos 1. Virus Programa que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.

Leia mais

Segurança no Computador

Segurança no Computador Segurança no Computador Segurança na Internet: Módulo 1 (CC Entre Mar E Serra), 2008 Segurança na Internet, CC Entre Mar E Serra 1 Segurança no Computador Um computador (ou sistema computacional) é dito

Leia mais

Segurança em computadores e em redes de computadores

Segurança em computadores e em redes de computadores Segurança em computadores e em redes de computadores Uma introdução IC.UNICAMP Matheus Mota matheus@lis.ic.unicamp.br @matheusmota Computador/rede segura Confiável Integro Disponível Não vulnerável 2 Porque

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Procedimentos de Segurança

Procedimentos de Segurança Procedimentos de Segurança Proteger o seu computador Utilize um anti-vírus para proteger o seu sistema e os seus dados Mantenha-o constantemente ligado e actualizado, e sempre configurado com protecção

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa SEGURANÇA DA INFORMAÇÃO DICAS Aguinaldo Fernandes Rosa Especialista em Segurança da Informação Segurança da Informação Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

Ameaças a computadores. Prof. César Couto

Ameaças a computadores. Prof. César Couto Ameaças a computadores Prof. César Couto Conceitos Malware: termo aplicado a qualquer software desenvolvido para causar danos em computadores. Estão nele incluídos vírus, vermes e cavalos de tróia. Vírus:

Leia mais

COMUNICADO DE IMPRENSA

COMUNICADO DE IMPRENSA COMUNICADO DE IMPRENSA Kaspersky PURE 2.0 Total Security Protecção para os PCs de toda a família Protecção integral, simples de gerir e eficaz contra todos os perigos da Internet Todos os dias aparecem

Leia mais

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malware O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos. Agenda

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Combater e prevenir vírus em seu computador

Combater e prevenir vírus em seu computador Combater e prevenir vírus em seu computador Definição de vírus, worms, hoaxes, Tróias e vulnerabilidades de segurança Instruções para remover e evitar vírus Vulnerabilidades do sistema e ameaças de segurança

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO:

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: Exercícios de Segurança de Informação Ameaças lógicas Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: 1) Vírus de macro infectam arquivos criados por softwares que utilizam

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

COMUNICADO DE IMPRENSA

COMUNICADO DE IMPRENSA COMUNICADO DE IMPRENSA O auge das redes zombi em 2012 Este fenómeno tem evoluído nos últimos anos e têm surgido, por exemplo, redes zombi descentralizadas, móveis e administradas através das redes sociais,

Leia mais

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento o ESET Smart Security é um software

Leia mais

LIÇÃO: Segurança Informática Reconhecimento de Vírus e Acção

LIÇÃO: Segurança Informática Reconhecimento de Vírus e Acção LIÇÃO: Segurança Informática Reconhecimento de Vírus e Acção Idade-alvo recomendada: 11 anos Guia da lição Os alunos irão desenvolver uma compreensão básica de problemas de segurança online e prevenção

Leia mais

Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma

Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma loja específica Manter um Antivírus atualizado; Evitar

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

COMUNICADO DE IMPRENSA

COMUNICADO DE IMPRENSA COMUNICADO DE IMPRENSA Kaspersky Internet Security e Kaspersky Anti-Virus 2013 Máxima protecção contra todas as ameaças Ambos os produtos foram actualizados para oferecer protecção avançada contra o malware

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer Netscape Navigator;

Leia mais

A segurança da sua informação e do computador é fundamental e depende muito de si.

A segurança da sua informação e do computador é fundamental e depende muito de si. Proteja o seu PC A segurança da sua informação e do computador é fundamental e depende muito de si. O que deve fazer? Manter o antivírus actualizado Não manter o antivírus actualizado é quase o mesmo que

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Índice. 1. Conceitos de Segurança. 2. Navegando na Internet com Segurança. 3. Utilização do e-mail e programas de mensagem instantânea com segurança

Índice. 1. Conceitos de Segurança. 2. Navegando na Internet com Segurança. 3. Utilização do e-mail e programas de mensagem instantânea com segurança Índice 1. Conceitos de Segurança 1.1. O que é Segurança da Informação? 1.2. Cuidado com os vírus de computador 1.3. Dicas para manter o computador seguro 2. Navegando na Internet com Segurança 2.1. Fique

Leia mais

Trojans bancários dominaram malware do tráfego de email em Julho

Trojans bancários dominaram malware do tráfego de email em Julho Trojans bancários dominaram malware do tráfego de email em Julho Relatório de Spam. Julho 2013 Lisboa, 6 de Setembro de 2013 Edward Snowden torna-se num dos claros protagonistas do spam de Julho Volume

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Conteúdo F-Secure Anti-Virus for Mac 2015 Conteúdo Capítulo 1: Introdução...3 1.1 Gerenciar assinatura...4 1.2 Como me certificar de que o computador está protegido...4

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos.

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos. INTRODUÇÃO Essa apostila foi idealizada como suporte as aulas de Informática Educativa do professor Haroldo do Carmo. O conteúdo tem como objetivo a inclusão digital as ferramentas de pesquisas on-line

Leia mais

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos.

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. REDES Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. TIPOS TIPOS LAN MAN WAN FUNCIONAMENTO DE UMA REDE TIPOS Cliente/ Servidor Ponto a ponto INTERNET Conceito 1.

Leia mais

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN www.brunoguilhen.com.br Prof. BRUNO GUILHEN MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. O processo de Navegação na Internet A CONEXÃO USUÁRIO

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7 MANUAL DO PRODUTO TIM Protect Família Versão 10.7 1 1 Índice 1 Índice... 2 2 TIM Protect Família... 4 2.1 Instalação do TIM Protect Família... 5 2.1.1 TIM Protect Família instalado... 7 2.2 Ativação do

Leia mais

PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012.

PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012. PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012. ACRESCENTA A ARQUITETURA DE PADRÕES TECNOLÓGICOS DE INTEROPERABILIDADE - e-pingrio, NO SEGMENTO SEGURANÇA DE TECNOLOGIA INFORMAÇÃO E COMUNICAÇÃO

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. /Redes/Internet/Segurança

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. /Redes/Internet/Segurança APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA www.brunoguilhen.com.br A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

INE 5223 Informática para Secretariado

INE 5223 Informática para Secretariado 4. AMBIENTE INTERNET UFSC Prof.: Achilles Colombo Prudêncio 4. Ambiente Internet UFSC 4.2. Utilização de Recursos da Internet O uso dos recursos da Internet vem sendo comentado sempre, em todos os tópicos

Leia mais

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

MALWARE`S. Disciplina : Informática ll - Válquer Coêlho

MALWARE`S. Disciplina : Informática ll - Válquer Coêlho MALWARE`S Disciplina : Informática ll - Válquer Coêlho MALWARE O termo software; é proveniente do inglês malicious É destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. www.brunoguilhen.com.br 1 INFORMÁTICA BÁSICA

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. www.brunoguilhen.com.br 1 INFORMÁTICA BÁSICA APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer Netscape Navigator;

Leia mais

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Sumário Visão geral de novos recursos 2 Instalação, ativação, licenciamento 2 Internet Security 3 Proteção Avançada 4

Leia mais

Parte VIII: Códigos Maliciosos (Malware)

Parte VIII: Códigos Maliciosos (Malware) SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

O elo mais fraco. Parte I

O elo mais fraco. Parte I O elo mais fraco A segurança da informação nas empresas é sem dúvida um tema que começa a merecer cada vez mais atenção. Os responsáveis dos departamentos de informática e as empresas que desenvolvem actividade

Leia mais

Exploradores de uma vulnerabilidade para atacar ativos

Exploradores de uma vulnerabilidade para atacar ativos Ameaças Exploradores de uma vulnerabilidade para atacar ativos Demonstração de poder Motivos Busca por prestígio Motivações financeiras Motivações ideológicas Motivações comerciais Processo de Ataque Exploram

Leia mais

Netiqueta (ou Netiquette)

Netiqueta (ou Netiquette) Netiqueta (ou Netiquette) Conjunto de atitudes e normas recomendadas (não impostas) para que todos os utilizadores possam comunicar através da Internet de um forma cordial e agradável. Evite a utilização

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

Abin e PF. Informática Complemento. Prof. Rafael Araujo

Abin e PF. Informática Complemento. Prof. Rafael Araujo Criptografia Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades,

Leia mais

Capítulo 1: Introdução...3

Capítulo 1: Introdução...3 F-Secure Anti-Virus for Mac 2014 Conteúdo 2 Conteúdo Capítulo 1: Introdução...3 1.1 O que fazer após a instalação...4 1.1.1 Gerenciar assinatura...4 1.1.2 Abrir o produto...4 1.2 Como me certificar de

Leia mais

DOMÍNIO PRODUTIVO DA INFORMÁTICA - CONCURSO BB 2015 -

DOMÍNIO PRODUTIVO DA INFORMÁTICA - CONCURSO BB 2015 - DOMÍNIO PRODUTIVO DA INFORMÁTICA - CONCURSO - Professor Esp. Wellington de Oliveira Graduação em Ciência da Computação Pós-Graduação em Docência do Ensino Superior Pós-Graduação MBA em Gerenciamento de

Leia mais

Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro.

Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro. 1 Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro. Pelotas, 2012 2 Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro. Termos técnicos Pelotas, 2012 3 SUMÁRIO 1

Leia mais

MÓDULO I - INTERNET APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. Prof. BRUNO GUILHEN. O processo de Navegação na Internet. Aula 01

MÓDULO I - INTERNET APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. Prof. BRUNO GUILHEN. O processo de Navegação na Internet. Aula 01 APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN Prof. BRUNO GUILHEN MÓDULO I - INTERNET O processo de Navegação na Internet Aula 01 O processo de Navegação na Internet. USUÁRIO A CONEXÃO PROVEDOR On-Line EMPRESA

Leia mais

GENERALIDADES SOBRE ANTI-VÍRUS

GENERALIDADES SOBRE ANTI-VÍRUS Índice GENERALIDADES SOBRE ANTI-VÍRUS... 2 Contaminação... 3 Detecção de vírus... 4 Algumas formas de evitar Vírus... 4 Worms... 5 Variantes... 5 Trojan Horse (Cavalo de Tróia)... 6 Spywares... 7 GENERALIDADES

Leia mais

PARE LEIA com atenção AVANCE com segurança

PARE LEIA com atenção AVANCE com segurança GUIA PARA A SEGURANÇA NA INTERNET PARE LEIA com atenção AVANCE com segurança Julho 2007 ÍNDICE A importância da Internet 2 Os principais desafios na utilização da Internet 4 Comunicar através de mensagens

Leia mais

Verificar a reputação dos ficheiros através da Kaspersky Security Network

Verificar a reputação dos ficheiros através da Kaspersky Security Network Verificar a reputação dos ficheiros através da Kaspersky Security Network O sistema baseado em cloud Kaspersky Security Network (KSN), criado para reagir o mais rapidamente possível às novas ameaças que

Leia mais

Conceptronic C100BRS4H Guia de Instalação Rápida. Parabéns pela compra do seu Router de Banda Larga com 4 portas da Conceptronic.

Conceptronic C100BRS4H Guia de Instalação Rápida. Parabéns pela compra do seu Router de Banda Larga com 4 portas da Conceptronic. Conceptronic C100BRS4H Guia de Instalação Rápida Parabéns pela compra do seu Router de Banda Larga com 4 portas da Conceptronic. O seguinte Guia de Instalação de Hardware explica-lhe passo-a-passo como

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

Ameaças, riscos e vulnerabilidades. Prof. Anderson Maia. Objetivos. ameaças mais comuns na internet;

Ameaças, riscos e vulnerabilidades. Prof. Anderson Maia. Objetivos. ameaças mais comuns na internet; Ameaças, riscos e vulnerabilidades Prof. Anderson Maia Objetivos è compreender o funcionamento de algumas ameaças mais comuns na internet; è entender como tais ameaças podem ser exploradas por meio das

Leia mais

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros Lisboa, 21 de Agosto de 2013 As notificações de falha de entrega de e-mails são novo isco de spam O volume

Leia mais

GUIA PARA A SEGURANÇA NA INTERNET. PARE LEIA com atenção AVANCE com segurança

GUIA PARA A SEGURANÇA NA INTERNET. PARE LEIA com atenção AVANCE com segurança GUIA PARA A SEGURANÇA NA INTERNET PARE LEIA com atenção AVANCE com segurança ÍNDICE A importância da Internet 2 Os principais desafios na utilização da Internet 4 Comunicar através de mensagens instantâneas

Leia mais

INTRODUÇÃO A SEGURANÇA EM REDES

INTRODUÇÃO A SEGURANÇA EM REDES INTRODUÇÃO A SEGURANÇA EM REDES Prof. Msc. Hélio Esperidião POR QUE SE PREOCUPAR COM A SEGURANÇA? Senhas, números de cartões de crédito Conta de acesso à internet Dados pessoais e comerciais Danificação

Leia mais

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas virtuais 1 Vírus A mais simples e conhecida das ameaças. Esse programa malicioso pode ligar-se

Leia mais

Prof. Ricardo Beck Noções de Informática Professor: Ricardo Beck

Prof. Ricardo Beck Noções de Informática Professor: Ricardo Beck Noções de Informática Professor: Ricardo Beck Prof. Ricardo Beck www.aprovaconcursos.com.br Página 1 de 14 Como Funciona a Internet Basicamente cada computador conectado à Internet, acessando ou provendo

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Lista de Exercício: PARTE 1

Lista de Exercício: PARTE 1 Lista de Exercício: PARTE 1 1. Questão (Cód.:10750) (sem.:2a) de 0,50 O protocolo da camada de aplicação, responsável pelo recebimento de mensagens eletrônicas é: ( ) IP ( ) TCP ( ) POP Cadastrada por:

Leia mais

Guia de Segurança em Redes Sociais

Guia de Segurança em Redes Sociais Guia de Segurança em Redes Sociais INTRODUÇÃO As redes sociais são parte do cotidiano de navegação dos usuários. A maioria dos internautas utiliza ao menos uma rede social e muitos deles participam ativamente

Leia mais

SOLO NETWORK. Guia de Segurança em Redes Sociais

SOLO NETWORK. Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41)

Leia mais

Comunicado Técnico 14

Comunicado Técnico 14 Comunicado Técnico 14 ISSN 2177-854X Agosto. 2011 Uberaba - MG SPYWARE Instruções Técnicas Responsáveis: Danilo Guardieiro Lima E-mail: daniloglima@terra.com.br Especialista em redes de computadores, Professor

Leia mais

Introdução à Informática

Introdução à Informática Introdução à Informática Segurança dos computadores Escola Superior de Tecnologia e Gestão Instituto Politécnico de Bragança Janeiro de 2007 Segurança - necessidade Cada vez mais, a economia mundial depende

Leia mais

Índice. 1.1 - Proteja o seu PC pág. 3. 1.2 Proteja o seu tablet ou smartphone pág. 4. 3. Compras online com Segurança pág. 8

Índice. 1.1 - Proteja o seu PC pág. 3. 1.2 Proteja o seu tablet ou smartphone pág. 4. 3. Compras online com Segurança pág. 8 1 Índice 2 1. Proteja os equipamentos de acesso à internet pág. 3 1.1 - Proteja o seu PC pág. 3 1.2 Proteja o seu tablet ou smartphone pág. 4 2. Phishing pág. 6 3. Compras online com Segurança pág. 8 4.

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Consulte a contra-capa para uma instalação rápida.

Consulte a contra-capa para uma instalação rápida. Manual do Utilizador Consulte a contra-capa para uma instalação rápida. Protegemos mais pessoas das crescentes ameaças on-line do que qualquer outra empresa no mundo. Preocupa-se com o nosso Ambiente,

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro Analista de Segurança da BRconnection POR GENTILEZA, MANTENHAM SEUS CELULARES DESLIGADOS DURANTE A APRESENTAÇÃO. OBRIGADO! Gerenciando Riscos em Comunicação

Leia mais

USO DOS SERVIÇOS DE E-MAIL

USO DOS SERVIÇOS DE E-MAIL USO DOS SERVIÇOS DE E-MAIL 1. OBJETIVO Estabelecer responsabilidades e requisitos básicos de uso dos serviços de Correio Eletrônico, no ambiente de Tecnologia da Informação da CREMER S/A. 2. DEFINIÇÕES

Leia mais

Segurança da Internet no Brasil e Atuação do CERT.br

Segurança da Internet no Brasil e Atuação do CERT.br Segurança da Internet no Brasil e Atuação do CERT.br Aritana Pinheiro Falconi falconi@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação

Leia mais

Manual de Boas Práticas

Manual de Boas Práticas MINISTÉRIO DA EDUCAÇÃO E CIÊNCIA Serviços de Informática da Universidade Aberta Manual de Boas Práticas Temas: Cuidados a ter com os anexos do correio eletrónico (email) Navegar na internet de forma segura:

Leia mais

Especificação do Sistema Operativo CAMES - CAixa Mágica Enterprise Server

Especificação do Sistema Operativo CAMES - CAixa Mágica Enterprise Server Especificação do Sistema Operativo CAMES - CAixa Mágica Enterprise Server Versão: 1.06 Data: 2010-11-15 SO CAMES 1 ÍNDICE A Apresentação do CAMES - CAixa Mágica Enterprise Server - Sistema Operativo de

Leia mais

Novidades do AVG 2013

Novidades do AVG 2013 Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento

Leia mais

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura?

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura? Qual a importância da Segurança da Informação para nós? No nosso dia-a-dia todos nós estamos vulneráveis a novas ameaças. Em contrapartida, procuramos sempre usar alguns recursos para diminuir essa vulnerabilidade,

Leia mais