O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM

Tamanho: px
Começar a partir da página:

Download "O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM"

Transcrição

1 Edi Carlos de Moura Bragança Henrique da Conceição Costa e Silva Julio Ribeiro de Souza O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM FACULDADE DE TECNOLOGIA DA ZONA SUL SÃO PAULO 2010

2 Edi Carlos de Moura Bragança Henrique da Conceição Costa e Silva Julio Ribeiro de Souza O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia da Zona Sul para a obtenção do título de Tecnólogo em Informática para Gestão de Negócios, sob orientação do Prof. Walcyr de Moura e Silva FACULDADE DE TECNOLOGIA DA ZONA SUL SÃO PAULO 2010

3 Edi Carlos de Moura Bragança Henrique da Conceição Costa e Silva Julio Ribeiro de Souza O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM Aprovado em / / BANCA EXAMINADORA Prof. Walcyr de Moura e Silva Faculdade de Tecnologia da Zona Sul Prof. Luciana Silva Zapparolli Faculdade de Tecnologia da Zona Sul Prof. Eduardo Bonetti de Freitas Faculdade de Tecnologia da Zona Sul

4 AGRADECIMENTOS "As coisas boas duram pouco. O suficiente para se tornarem inesquecíveis." (Bob Marley) Eu gostaria de agradecer a minha esposa pela "paciência" e "compreensão" nas horas perdidas em frente ao computador, aos meus pais pelo confiança na minha capacidade de crescer, a DEUS por me dar força de vontade e saúde para lutar pelos meus sonhos, e ao Edi Carlos e ao Henrique, por acreditarem na minha idéia e dedicarem seu tempo a esse projeto. Julio Ribeiro Agradeço primeiramente a Deus pela oportunidade e vida, aos meus pais, Geraldo e Maria Terezinha, pelo carinho e ensinamentos, aos meus irmãos, irmãs, primos e primas pelo companheirismo e amizade, aos meus amigos e colegas de faculdade, em especial ao Henrique e Julio que empreenderam esta tarefa comigo e, em especial, agradeço a Carolina Beu pelo carinho, dedicação e atenção desprendidos a minha pessoa. Edi Carlos Moura Não é direito de ninguém tirar o sonho de um homem. (Monkey D. Luffy) Agradeço ao Srº Henrique e a Dª Maria (meus pais) por todo o amor, carinho e apoio nesta jornada; obrigado à FATEC Sul (direção, secretaria, professores e amigos de curso) pela inestimável contribuição em nossa formação pessoal e acadêmica. Edi Carlos e Julio, meus amigos, obrigado pelos anos de convivência, pelas idéias colocadas nesse trabalho e pelo companheirismo. E, em especial, o nosso obrigado ao Professor Walcyr de Moura e Silva, que nos orientou neste trabalho. Henrique Costa e Silva

5 Se você conhecer o inimigo e a si próprio, não precisará temer o resultado de cem batalhas. Se você se conhece, mas não ao inimigo, para cada vitória também sofrerá uma derrota. Se você não conhece nem ao inimigo e nem a si próprio, sucumbirá em todas as batalhas. (Sun Tzu - "A Arte da Guerra")

6 RESUMO A prática de Spams tornou-se algo extremamente incomodo, pelas mensagens indesejadas que usuários de recebem e também pelos prejuízos que essa prática tem causado as corporações e até mesmo ao meio ambiente. Tendo em vista esses problemas, fizemos um trabalho onde utilizamos uma técnica de segurança chamada honeypots. A ideia é testar sua aplicabilidade no combate de spams, a fim de contribuir com o meio ambiente, com a paciência dos usuários de e com o zelo da imagem das corporações que sofrem com fraudes causadas por spammers. Nosso trabalho tem como base o projeto Spampots da Cert.br. Palavras-chave: , honeypots, honeynet, spam, spammers.

7 ABSTRACT The practice of Spam has become extremely cumbersome, for users to receive s with spams and also the damage that this practice has caused for the corporations and even the environment. Considering these problems, we work with a security technique called honeypots, using them against the practice of spam, in order to contribute to the environment, with the patience of users of and with the zeal of image of corporations that suffer from fraud caused by spammers. Our work is based on the design of Spampots CERT.br. Keywords: , honeypots, honeynet, spam, spammers.

8 SUMÁRIO 1. INTRODUÇÃO PROPOSTA METODOLOGIA CONCEITOS O SURGIMENTO DA INTERNET HISTÓRIA DO FUNDAMENTOS BÁSICOS DO PROTOCOLOS DE IMPORTÂNCIA DO COMO MEIO DE COMUNICAÇÃO SPAM DEFINIÇÃO DE SPAM TIPOS DE ENDEREÇAMENTOS PREJUÍZOS DIRETOS E INDIRETOS FERRAMENTAS DE SEGURANÇA FIREWALL BREVE HISTÓRIA TIPOS DE FIREWALL FILTROS DE PACOTES FIREWALL DE APLICAÇÃO OU PROXY INTRUSION DETECTION SYSTEM (IDS) SISTEMAS BASEADOS EM REDE (NIDS) SISTEMAS BASEADOS EM HOST (HIDS) HONEYPOTS DEFINIÇÃO A HISTÓRIA DOS HONEYPOTS TIPOS DE HONEYPOTS HONEYPOTS DE PRODUÇÃO HONEYPOTS DE PESQUISA NÍVEIS DE INTERATIVIDADE DOS HONEYPOTS BAIXA INTERATIVIDADE MÉDIA INTERATIVIDADE... 47

9 ALTA INTERATIVIDADE HONEYNET HONEYNET REAL HONEYNET VIRTUAL PROJETO SPAMPOTS DA CERT.BR FUNCIONAMENTO ESTUDO DE CASO FERRAMENTA UTILIZADA ESTUDO DE CASO 1 AMBIENTE LOCAL ESTRUTURA DE REDE RESULTADOS OBTIDOS ESTUDO DE CASO 2 AMBIENTE EMPRESA ESTRUTURA DE REDE RESULTADOS OBTIDOS RECOMENDAÇÕES DADAS À EMPRESA ESTUDO DE CASO 3 AMBIENTE LOCAL COM ESTRUTURA VIRTUAL ESTRUTURA DE REDE RESULTADOS OBTIDOS CONCLUSÃO REFERÊNCIAS BILBLIOGRÁFICAS ANEXOS ANEXO A ESTUDO DE CASO I ANEXO B ESTUDO DE CASO II ANEXO C ESTUDO DE CASO III ANEXO D DENÚNCIA DE INVASÃO

10 LISTA DE FIGURAS E TABELAS FIGURA 1 ESBOÇO DOS AGENTES DO PROCESSO DE COMUNICAÇÃO FIGURA 2 ESBOÇO DA FORMAÇÃO DO FIGURA 3 ESBOÇO DO ENVIO DE FIGURA 4 ENVIO DE FIGURA 5 O USO DE NA AMÉRICA DO NORTE, EMEA E APAC FIGURA 6 ENLATADO SPAM FIGURA 7 RANKING PRELIMINAR DE ENVIO DE SPAM NO MUNDO FIGURA 8 CRESCIMENTO DE SPAMS REPORTADOS AO CERT.BR FIGURA 9 ORGÃO GESTOR DA INTERNET NO BRASIL FIGURA 10 ORGÃO GESTOR DA INTERNET NO BRASIL FIGURA 11 PEQUENO CONJUNTO DE REGRAS PARA CRIAR RESTRIÇÕES TABELA 1 COMPARAÇÃO ENTRE NÍVEIS DE INTERATIVIDADE FIGURA 12 HONEYNET REAL FIGURA 13 HONEYNET VIRTUAL FIGURA 14 ARQUITETURA DO PROJETO SPAMPOT DO CERT.BR FIGURA 15 DIAGRAMA DE REDE TIPOS DE SISTEMAS OPERACIONAIS FIGURA 16 COMPOSIÇÃO DE AMBIENTE VIRTUAL FIGURA 17 PORTAS DE MÁQUINAS COM SERVIÇOS VIRTUAIS ESCANEADAS FIGURA 18 ILUSTRAÇÃO DE ATAQUE FIGURA 19 DETALHES DO ATACANTE FIGURA 20 RASTREANDO O IP DO VISITANTE FIGURA 21 DIAGRAMA DA REDE TIPOS DE SISTEMAS OPERACIONAIS FIGURA 22 ESTRUTURA DE REDE AMBIENTE EMPRESA FIGURA 23 ACESSO EXTERNO REALIZADO: TENTATIVA DE ENVIO DE FIGURA 24 VISÃO DO PANORAMA GERAL DA INVASÃO FIGURA 25 IP E PORTA UTILIZADA PELO INVASOR E EMULADA NO HONEYPOT FIGURA 26 DETALHANDO TENTATIVA DE ENVIO DO

11 FIGURA 27 RASTREANDO O INVASOR ATRAVÉS DO ENDEREÇO IP FIGURA 28 INTERFACE GRÁFICA DO PROGRAMA VIRTUAL BOX FIGURA 29 AMBIENTE CRIADO PARA ESTUDO DE CASO FIGURA 30 PRIMEIRO ATAQUE NA PORTA 25 SMTP FIGURA 31 DETALHES DA INVASÃO NO AMBIENTE VIRTUAL... 71

12 LISTA DE ABREVIATURAS E SIGLAS ADSL- Asymmetric Digital Subscriber Line ADV - Advertisement ARPANET - Advanced Research Projects Agency Network ATM - Asynchronous Transfer Mode CEO - Chief Executive Officer CGI - Comitê Gestor da Internet no Brasil CNPQ - Conselho Nacional de Desenvolvimento Cientifico e Tecnológico CPU - Central Processing Unit CSNET - Computer Science Network DARPA - Defense Advanced Research Projects Agency DMZ - DeMilitarized Zone DNS - Domain Name System FTP - File Transfer Protocol HIDS - Host Intrusion Detection System HTML - HiperText Markup Language HTTP - HyperText Transfer Protocol IDS - Intrusion detection system IMAP - Internet Message Access Protocol IP - Internet Protocol MDA - Mail Delivery Agent MEPPS - Mensagem Eletrônica de Publicidade de Produtos e Serviços MIME - Multipurpose Internet Mail Extensions MTA - Mail Transfer Agent MX - Mail exchanger NIDS - Network Intrusion Detection System NSFnet - National Science Foundation OSI - Open Systems Interconnection PC - Personal Computer POP3 - Post Office Protocol RFC - Request For Comments RNP- Rede Nacional de Pesquisas SNDMSG - Send Message

13 SMTP - Simple Mail Transfer Protocol SPF - Sender Policy Framework TCP/IP - Transmission Control Protocol/Internet Protocol UBE - Unsolicited Bulk UCE - Unsolicited Commercial USENET - Unix User Network VPNs - Virtual Private Networks

14 16 1. INTRODUÇÃO 1.1. Proposta Desde o seu surgimento, o desempenha um papel importantíssimo na comunicação entre pessoas, empresas, governos etc. Características como agilidade, baixo custo, usabilidade, segurança, privacidade, entre outras, contribuíram para a evolução e adesão da ferramenta em praticamente todas as empresas do mundo, sobretudo as que estão preocupadas em documentar e formalizar seus processos. Tamanha funcionalidade legitimou o uso do e- mail como mais um sistema de comunicação de massa. No entanto, essa notoriedade também impulsionou o aparecimento de uma inconveniência: o SPAM. Em poucos anos, o recebimento de mensagens não solicitadas tornou-se um dos maiores pesadelos aos usuários de , seja no âmbito doméstico ou profissional. De acordo com estimativas da empresa Cisco 1, só no ano de 2009 cerca de 300 bilhões de SPAMs circularam no mundo. Para este ano de 2010, as projeções de aumento variam de 30% a 40%. Segundo dados da Spamcop 2, de janeiro de 2010 até Outubro de 2010, foram reportados a impressionante cifra de spams no mundo, sendo que este número refere-se apenas aos casos reportados à empresa. Esta informação nos leva a supor que o número real de spams no mundo seja muito superior aos valores estimados. No contexto nacional o quadro é preocupante: em 2009 o Brasil foi o campeão de envio de spams no mundo 3, tendo uma cifra de de spams ficando a frente de países como Estados Unidos e Índia. Os imensos prejuízos causados por spams levaram os provedores de s a desenvolverem técnicas de filtragens e combate que, com o passar dos anos, não se mostraram eficientes o bastante para eliminar este tipo problema. Pelo contrário, o que observamos é a incidência cada vez maior de danos decorrentes da expressiva circulação de spams em todo o mundo. A 1 Cisco 2009 Annual Security Report - Disponível em 2 SpamCop.net Total spam report volume Disponível em 3 CGI.br - Disponível em

15 17 proposta deste trabalho acadêmico é mostrar como o uso de Honeypot, recurso de segurança criado com o intento de ser sondado, atacado ou comprometido, pode contribuir para o combate ao envio de spam, seja em um ambiente de rede local/doméstico ou empresarial. Em suma, ao final desta pesquisa esperamos ter contribuído para o alcance de um mundo livre de spams Metodologia Este trabalho acadêmico está dividido em sete capítulos. Na primeira parte, apresentaremos de maneira breve a história da Internet e do , destacando o contexto em que cada um surgiu e a importância dos mesmos no cenário tecnológico atual. Em um segundo momento, discorremos sobre o funcionamento do do ponto de vista técnico, destacando o surgimento e o significado dos termos spam e spammers, os principais tipos de filtros Anti-Spam e uma análise dos prejuízos causados pelos mesmos às empresas e aos usuários. A terceira parte da pesquisa aborda os mecanismos de segurança em um ambiente de rede. A breve história do papel do firewall, suas características e diferentes funcionalidades também serão apresentadas. Neste contexto, abordaremos ainda IDS, sistemas de detecção de intrusão e NIDS, sistema de detecção de intrusão baseado em rede de computadores, como mecanismos importantes para garantir a segurança de uma rede de computadores. O quarto item é dedicado à história e ao conceito de Honeypots, discorrendo acerca dos tipos existentes, seus níveis de interatividade e sua aplicabilidade. Falamos ainda sobre o conceito de Honeynet e de sua importância no combate a invasões de sistemas de computadores. Para exemplificar, citamos brevemente o projeto SpamPots da Cert.br. No quinto capítulo, demonstramos o funcionamento de um Honeypot através de uma ferramenta específica que simula diversos tipos de serviços e servidores. Essa demonstração é decorrente de três estudos de caso avaliados para a pesquisa, tema da sexta divisão do presente trabalho, nos quais apresentamos uma estrutura real e outra simulada, que nos permitiram compreender o funcionamento de ambos os processos. Na sétima e última parte, propomos um texto conclusivo, no qual analisamos os ganhos obtidos neste projeto e os caminhos que podem ser percorridos no combate eficiente ao spam e, principalmente, aos spammers.

16 18 2. CONCEITOS 2.1. O surgimento da Internet Após a Segunda Guerra Mundial, o mundo viu-se mergulhado na chamada Guerra Fria, isto é, um conflito não declarado entre as duas principais potências mundiais do período pós-guerra, Estados Unidos e a Ex-União Soviética. Segundo Caiçara Junior 4, neste período a informação ganhou um caráter estratégico, impulsionando a polarização política e a corrida armamentista no pós-guerra. Os anos de 1960 e 1970 foram marcados pela Guerra Fria entre os EUA e a União Soviética. Nessa época, a informação se tornou variável estratégica na competição entre esses dois países. Havia ainda a necessidade de proteger os dados, transmitindo-os à rede de comando de forma segura, flexível e confiável. A compreensão de que a informação em um cenário de guerra é extremamente importante impulsionou o surgimento de uma tecnologia focada na criação, transmissão, gestão e manipulação da informação. Em 1967, uma agência de projetos e pesquisas avançadas norteamericana composta por cientistas e militares, a chamada Defense Advanced Research Projetcs Agency (Darpa), desenvolveu uma rede para compartilhar dados sigilosos que ficou conhecido como Arpanet. Esta rede possuía a característica de não ter nenhum ponto de controle central, pois as mensagens enviadas seriam quebradas em pequenas partes, chamadas de pacotes, que seriam enviados por meio da rede e reconstruídos no destino final. A comunicação entre os computadores ocorreria de forma independente. Todas as máquinas estariam conectadas entre si e a mensagem possuía o emissor, o meio de transporte e o destinatário final. Assim, para destruir a comunicação, seria necessário destruir toda a rede. A partir de 1969, um grupo de universidades americanas obteve um expressivo sucesso ao integrar os seus servidores, computadores utilizados para prover serviços na rede. Dessa forma, outras universidades aderiram a iniciativa e contribuíram para o aumento do tamanho e do uso da rede. 4 Informática, Internet e Aplicativos - Cícero Caiçara Junior, 131

17 19 O número cada vez maior de pesquisadores envolvidos no desenvolvimento e na utilização da nova tecnologia marcou o surgimento de uma contracultura baseada na propagação de novos procedimentos que, repassados de pessoa a pessoa, foram capazes de gerar uma verdadeira revolução sociocultural dentro da própria revolução tecnológica 5. De Fato, parece que o surgimento de um novo sistema tecnológico na década de 1970 deve ser atribuída à dinâmica autônoma da descoberta e difusão tecnológica, inclusive aos efeitos sinérgicos entre todas as várias principais tecnologias. (Castells, 1999:97) Com o crescimento da Arpanet, tornou-se difícil separar a pesquisa voltada para fins militares das comunicações e conversações pessoais na rede. Por essa razão, ao final da década de 1970 optou-se por dividir a rede em duas: uma destinada exclusivamente à pesquisa, chamada de nova Arpanet, e outra com objetivos especificamente militares, que passou a ser conhecida como Milnet. A partir deste período foram criadas diversas redes. Na década de 80 a National Science Foundation, em parceria com a IBM também se envolveu na criação da CSNET, outra rede com caráter cientifico, cuja espinha dorsal do sistema de comunicação era a ARPANET. A rede das redes que se formou durante esta década passou a ser chamada de ARPA-INTERNET e, logo depois, de INTERNET, a rede mundial de computadores. Após vinte anos de operação a ARPANET tornou-se obsoleta e encerrou as atividades em 28 de fevereiro de A NSFNET, operada pela National Sciense Foudantion, assumiu o posto de espinha dorsal da Internet, assim a operação da rede ainda estava nas mãos do governo. Contudo, o aparecimento e o crescimento de redes de empresas privadas, as pressões comerciais e as redes cooperativas sem fins lucrativos levaram à privatização total da Internet. O início da internet no Brasil também se deu através do meio acadêmico, sendo que a tecnologia foi trazida pela Rede Nacional de Pesquisas (RNP) em parceira com o Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPQ). Atualmente, a Internet conta com mais de 1,6 bilhões de pessoas conectadas à rede 6. Destes internautas, cerca de 67 milhões são brasileiros e este número cresce constantemente. 5 A sociedade em Rede - Manuel Castells, 1999:97 6 Revista Cert.br - Disponível em:

18 História do Os sistemas de informação baseados em computadores surgiram para atender as necessidades humanas de lidar com inúmeros dados, isto é, toda e qualquer coisa abstraída ou não do mundo real de forma não ordenada, e transformá-los em informação, que é a ordenação de dados de uma forma compreensível e regidos por alguma lógica implícita. Uma das principais formas de comunicação dos seres humanos é o processo da fala, expressa por meio dos sons e de palavras. Para que o processo de comunicação seja efetivo, se faz necessária a presença de alguns agentes. São eles: Emissor Mensagem Meio de Transmissão Receptor ransmissão FIGURA 1 ESBOÇO DOS AGENTES DO PROCESSO DE COMUNICAÇÃO Fonte: Própria. O correio eletrônico ou é o método de composição, envio e recebimento de mensagens através de sistemas eletrônicos de comunicação. O , tal como conhecemos hoje, surgiu em meados da década de 1990, com o aparecimento dos primeiros provedores de hospedagem, em que o usuário ganhava uma conta assim que assinava o serviço. As mensagens são compostas basicamente por texto em formato HTML (HiperText Markup Language) e anexos, arquivos que podem ser indexados às mensagens. Como o também é um processo de comunicação, contém os mesmos agentes do descrito acima, sendo que: Emissor: é o usuário de que cria a mensagem; Mensagem: é o conteúdo do , basicamente composto por texto. Meio de Transmissão: ferramenta pela qual o chegará ao destinatário, seja através da rede interna de uma empresa ou da internet. Receptor: é o usuário de a quem está destinada a mensagem.

19 21 É importante ressaltar que correio eletrônico surgiu antes mesmo da internet e seu objetivo sempre foi permitir que os usuários de computador se comunicassem por meio dos próprios equipamentos. No inicio, só era possível trocar mensagem entre usuários de um mesmo computador. Para resolver esta situação e permitir a identificação dos usuários um padrão foi criado: o programador Ray Tomlinson 7 optou por utilizar o (arroba) para separar os nomes do usuário da máquina no endereço eletrônico. Sendo assim, um endereço eletrônico ou é composto da seguinte forma: nomedousuario + o símbolo + o nomedomínio = FIGURA 2 ESBOÇO DA FORMAÇÃO DO Fonte: Própria O software criado por Tomlinson era extremamente simples e possuía menos de 200 linhas de código. Conhecido como SNDMSG (Send Message), esse programa possibilitou o envio das primeiras mensagens entre os usuários conectados ao mesmo PC. Usando o protocolo de transferência de dados CYPNET foi possível trocar mensagens através da ARPANET. Com a criação foi possível distinguir o usuário que criou a mensagem do nome da máquina que a enviou, identificando assim emissores e destinatários. Desta forma, tornou-se possível a troca de mensagem entre usuários de computadores diferentes através da Internet. Para enviar e receber uma mensagem de foi necessário criar um sistema de correio eletrônico, composto por programas de computadores que suportam a funcionalidade de cliente de e de um ou mais servidores, sendo este um computador que, através de um endereço de correio eletrônico, transfere uma mensagem de um usuário para outro. 7 Cuidado, a Internet esta viva - Alexandre Barbosa, 2005:14

20 Fundamentos Básicos do O é constituído basicamente de duas sessões: o cabeçalho que contém informações sobre o destinatário, remetente, data e outras informações sobre a mensagem; e o corpo (body), que contém o conteúdo da mensagem a ser lida. Hoje, o possui uma padronização de seu formato, tendo em vista maior agilidade e segurança na hora de enviar e receber mensagens dos diferentes provedores. Esse formato convencional é definido por meio de uma RFC (Request For Comments), que consiste em um conjunto de documentos de referência junto à Comunidade Internet que descrevem, especificam, ajudam na aplicação, estandardizam e debatem a maioria das normas, padrões de tecnologias e protocolos ligados à Internet e às redes em geral. A RFC 2822 e uma série de outras RFC s (RFC 2045 até a RFC 2049), conhecidas como MIME, são o que determinam hoje como um deve ser constituído. Ao receber uma mensagem, o usuário pode visualizá-la de duas formas: através dos chamados clientes de exclusivos ou por uma interface Web. Cliente de é um programa de computador que permite enviar, receber e personalizar mensagens. Microsoft Outlook, Outlook Express, Eudora, Pegasus ou Mozilla Thunderbird são os principais exemplos desse tipo de ferramenta. Hoje em dia também é possível assinar serviços gratuitos como o Hotmail, o Gmail ou o Yahoo, entre outros. Eles podem ser acessados através de uma página Web e são conhecidos como WebMail. Os clientes de s possuem algumas características: Permitem utilizar múltiplas contas de correio eletrônico ao mesmo tempo; criar e armazenar uma lista de contatos; criar, enviar, receber e ler mensagens; armazenar o no disco rígido; apresentar uma lista de todas as mensagens em sua caixa de correio;

21 23 Para enviar e receber as mensagens é necessário um servidor de . De acordo com (TEIXEIRA 2004), servidor é o programa de computador que provê algum tipo de serviço para outros programas, executados no mesmo computador ou em outros, remotamente. Dessa forma, os servidores de s são imprescindíveis para a existência de um sistema de correio eletrônico. De maneira simplificada, o funcionamento deles consiste em uma lista de contas, também chamada de caixas postais, sendo que, a cada nova mensagem recebida, o servidor salva um arquivo de texto na caixa postal correspondente, na ordem que as mensagens são entregues. FIGURA 3 ESBOÇO DO ENVIO DE Fonte: Protocolos de POP3 (Post Office Protocol) é o protocolo padrão para acesso e recuperação de s. Esse protocolo é responsável pela comunicação e transferência de um cliente de POP3 e o servidor de , definindo onde estão armazenados os arquivos de texto. Ao enviar uma mensagem, o cliente de conecta-se a um servidor SMTP (Simple Mail Transfer Protocol), gerando um protocolo TCP/IP, que é o padrão internacional utilizado para transferência de correspondências eletrônicas entre computadores. Sendo assim, o provedor insere algumas informações no cabeçalho da mensagem e esses dados são usados pelos servidores para interpretar algumas informações sobre a mensagem. O servidor SMTP se conecta, então, ao provedor do destinatário no servidor MX (Mail exchanger conhecido também como MX Record, que é um tipo de recurso no registro do DNS) e, antes de aceitar a entrega da mensagem, o MX faz uma verificação de SPF (o

22 24 Internet-Draft "Sender Policy Framework SPF - for Authorizing Use of Domains in e define algumas possíveis interpretações para os resultados obtidos. Esse é um sistema que previne o envio de s não autorizados em nome de um domínio, pois a consulta de SPF é feita para verificar a legitimidade do destino da mensagem. Para isso, são utilizados os TXT dos domínios encontrados no From/Reply-To/Return-Path do cabeçalho da mensagem. Esses resultados são obtidos por meio de uma consulta à zona DNS do remetente na entrada TXT. Dessa forma, o provedor só aceita a mensagem daquele domínio se o IP que pretende entregar a mensagem estiver no range de IP na zona DNS daquele mesmo domínio. Após o recebimento da mensagem, um servidor chamado de MTA (do inglês Mail Transfer Agent ou Agente de Transferência de Mensagens) tem a função de enviá-la para o MDA Mail Delivery Agent (Agente de Entrega de Mensagens) que deve salvar o arquivo em um disco rígido Storage (servidor de armazenagem de dados). FIGURA 4 ENVIO DE Fonte: Própria

23 25 Para acessá-lo posteriormente, o usuário pode utilizar dois protocolos: o POP3 e o IMAP. O POP3 é um dos protocolos mais utilizados por leitores que utilizam clientes de . As mensagens são transferidas do servidor para o computador local quando o usuário se conecta através de seu usuário e senha. O usuário pode usar também o IMAP (Internet Message Access Protocol), outro protocolo padrão utilizado por clientes de para ter acesso às mensagens que chegam ao servidor. Diferentemente do POP3, o IMAP sincroniza as alterações feitas do computador local ao servidor de , sendo que, para que isso ocorra, a conexão deve estar sempre ativa, pois há uma constante interação. Esta opção é útil para pessoas que lêem seus s de diferentes computadores e utilizam de forma dinâmica pasta e subpastas. De acordo com o autor JAMES BRYCE 8, essas são as funções essenciais Importância do como meio de Comunicação Ao longo dos anos, o correio eletrônico vem desempenhando um importante papel como ferramenta de comunicação. Com a evolução da internet para meio de comunicação em massa, a existência do tornou-se imprescindível para milhões de internautas. Segundo análises da empresa Radicati Group 9, já em 2009 o número de usuários de era de 1,4 bilhões e as projeções para 2013 são de que este contingente aumentará para 1,9 bilhões de pessoas. Estes números nos dão uma dimensão da grandiosidade do como forma de comunicação.algumas razões que levaram o a ser uma importante ferramenta de comunicação são: Custo - o barateou a comunicação entre as pessoas, principalmente para as empresas. Com o aparecimento de provedores que oferecem contas de s gratuitas, a adesão por parte dos usuários domésticos tornou-se comum; Alcance Global com a progressiva expansão da rede, o alcance da ferramenta é globalizado. 8 James Bryce Disponível em 9 Radicati Group Disponível em

24 26 Agilidade - com o avanço tecnológico, enviar e receber tornou-se uma tarefa extremamente ágil; Segurança com as normas da RFC 2554, relacionada à exigência de autenticação SMTP, foram implementadas normas de segurança com o objetivo de torná-lo uma ferramenta segura. Privacidade o uso do permite maior privacidade ao usuário em aspectos como conteúdo das mensagens, destinatários, envio de arquivos confidenciais, etc.; Identidade do internauta - inúmeros serviços são utilizados através de uma conta de e- mail, por exemplo: acesso às redes sociais, comércio eletrônico, Instant Messenger, blogs, hospedagem de sites e etc. A figura 5 mostra uma pesquisa realizada pela Global Consumer's Epsilon 10 na América do Norte, EMEA (Europa, Oriente Médio e África) e APAC (Ásia-Pacífico), confirmando o e- mail como a principal ferramenta usada para a comunicação pessoal on-line pela geração Y, também conhecidos como Millennials, que são pessoas nascidas entre os anos 80 a FIGURA 5 O USO DE NA AMÉRICA DO NORTE, EMEA E APAC Fonte: Epsilon (June, 2009) 10 Global Consumer's Epsilon - Disponível em:

25 27 3. SPAM 3.1. Definição de spam O termo spam é utilizado para denominar s de cunho comercial que não são solicitados pelo usuário. A grande diferença entre o spam e as outras formas de propagandas invasoras como o telemarketing, a panfletagem ou malas diretas consiste no fato de que, no fim das contas, é o destinatário quem arca com os custos. O spam é considerado uma praga virtual devido a sua rápida propagação na internet e pelo grande incômodo causado, pois, geralmente, essas mensagens são enviadas indiscriminadamente à milhares de pessoas. Em algumas partes do mundo, a prática também é conhecida como Junk, que ao pé da letra significa LIXO. Segundo a Cartilha de Segurança da Cert.br 11, quando o tipo de conteúdo desses s é exclusivamente comercial, essas mensagens também são conhecidas como: UBE (Unsolicited Bulk ), que são os s não-solicitados enviados em grande quantidade são conhecidos como bulk. UCE (Unsolicited Comercial ), que são os s comerciais não-solicitados e seu envio é feito simplesmente para fazer propaganda. A origem da palavra é atribuída a uma marca norte-americana de presunto condimentado. O enlatado SPAM é fabricado nos Estados Unidos pela empresa Hormel Foods 12 desde 1930 e é comercializado no mundo inteiro. Associação entre a marca do enlatado com as mensagens eletrônicas indesejadas ocorreu devido a um programa de TV veiculado na década de O produto foi tema de um dos episódios da série estrelada pelo grupo de comediantes Monty Python, que encenavam em uma taverna de vikings. A cena apresentava um casal consultando um cardápio no qual todos os pratos disponíveis continham SPAM. Enquanto o casal conversa com a garçonete, os vikings recitam por diversas vezes a palavra spam, situação que se tornava cada vez mais irritante. 11 Cartilha de Segurança Glossário. Disponível em: 12 Home Page da empresa - Disponível em:

26 28 Dessa forma, quando as primeiras mensagens não solicitadas passaram a ser enviadas repetidas vezes, o fato foi logo associado a cena da referida série. A Hormel, empresa detentora da SPAM, repudia a utilização de sua marca em comparação às mensagens indesejadas, tanto que disponibilizou em seu site uma nota de esclarecimentos sobre o SPAM: SPAM & the Internet - We do not object to use of this slang term to describe UCE, although we do object to the use of the word "spam" as a trademark and to the use of our product image in association with that term. Also, if the term is to be used, it should be used in all lower-case letters to distinguish it from our trademark SPAM, which should be used with all uppercase letters. 13 FIGURA 6 ENLATADO SPAM Fonte: 13 A nota de esclarecimento na íntegra - Disponível em:

27 29 O ano de 1994 foi marcado pelo primeiro envio de spam, quando dois advogados postaram uma mensagem em todos os grupos de discussão da USENET, fazendo propaganda de uma loteria para imigrantes nos Estados Unidos conhecida como green cards. Os autores do envio foram Canter e Siegel que, nos dia 5 de março e 12 de abril daquele ano, postaram a propaganda de sua loteria com a ajuda de um programador que aperfeiçoou o processo. Esse acontecimento provocou a ira da comunidade que utilizava a USENET na época e o incidente passou a ser considerado a primeira grande violação da Netiqueta (guia de boas maneiras na internet). Dentre os diversos tipos de spam, os boatos (hoaxes) são os mais populares, pois seus conteúdos normalmente são apelativos e comoventes. Para se ter uma ideia, um dos primeiros boatos que se tem conhecimento na história da internet brasileira ocorreu em julho de 2003, quando a Coca Cola do Brasil foi acusada de omitir informações a respeito de supostos componentes cancerígenos na composição do refrigerante Kuat. O caso foi logo desmentido pela empresa. Outro boato muito famoso que circulou foi sobre o tema roubo da Amazônia pelos EUA e mostrava um Mapa Mundi que destacava a Amazônia como zona internacional. A repercussão foi tamanha que o Itamaraty emitiu uma nota oficial para desmentir o caso. Considerada uma evolução do boato, as chamadas correntes fazem com que o usuário reenvie a mensagem para outras pessoas e, dessa forma, a distribuição do spam acaba sendo feita pelo próprio destinatário. Ou seja, o spammer só tem o trabalho de fazer os primeiros envios e os demais usuários fazem o restante do trabalho. Para isso, são utilizados artifícios que estimulam o usuário a enviar as mensagens, como frases do tipo se você enviar essa mensagem para N contatos nas próximas X horas, você concorrerá a um super brinde. Análogas a essa categoria estão as famosas lendas urbanas, que são histórias que ninguém sabe ao certo a origem e ou a veracidade. Mesmo assim, infelizmente, elas são espalhadas aos montes pela rede todos os dias. Assim como no mundo real, o mundo virtual está cheio de pessoas mal intencionadas que praticam fraudes e golpes. Dessa forma, muitos criminosos se apóiam em sistemas de lojas virtuais ou Internet Banking e utilizam spams para espalhar códigos maliciosos (malware) que causam danos ao funcionamento dos sistemas. Essas mensagens podem conter vírus que são

28 30 capazes de se multiplicar e infectar outros programas, worms que fazem cópias de si mesmo e se espalham por toda a rede ou trojans (cavalos de tróia) que podem permitir o controle de todo um sistema. Outros tipos de spams conhecidos são os que veiculam conteúdos pornográficos e/ou pedófilos. Objeto de forte investigação por parte de instituições como a Polícia Federal, esse tipo de crime já rendeu a prisão de vários spammers. Existem também as mensagens que contem ameaças ou brincadeiras, que são utilizadas para difamar pessoas ou instituições. Recentemente, outra categoria foi descoberta: são os chamados SPIM, cujos alvos são os programas de comunicadores instantâneos e as redes sociais Tipos de endereçamentos O fato é que os spammers estão utilizando artifícios cada vez mais eficazes para convencer o usuário a abrir as mensagens - e até respondê-las. Essa situação é preocupante, pois pode validar a legitimidade de um endereço de e incluí-lo na base de contato dos spammers. As técnicas mais utilizadas pelos spammers visam dificultar a identificação da origem do envio para que eles possam se manter no anonimato. Devido a sua importância, os servidores de s se tornaram alvos constantes de tentativas de ataques e invasões, a fim de se prestarem como ferramenta de envio de mensagens em massa. Vale ressaltar que os servidores que possuem relays abertos são MTAs que transmitem mensagens de qualquer domínio, ou mesmo só de domínios determinados, para qualquer outro, sem pedir autenticação, sem restringir (ou restringindo muito pouco) a faixa de endereços IP de origem 14 e são os que mais propiciam o envio de arquivos em grandes quantidades. De maneira sucinta, um servidor com relays aberto (open relays) é capaz de enviar mensagens mesmo que o remetente e o destinatário não sejam usuários cadastrados em seu sistema. Este tipo de configuração não é recomendada e nos tempos atuais é utilizada apenas para o envio de spam. 14 Configuração correta dos serviços de correio eletrônico. Disponível em:

29 31 Por meio da chamada engenharia social, muitos spammers criam armadilhas para que os próprios usuários propaguem suas mensagens pela internet sem se darem conta do tipo de conteúdo que estão enviando. De acordo com a autora Renata Cicilini Teixeira 15, as técnicas mais conhecidas são: One-time s ( s enviados uma única vez) Essa prática consiste em informar o usuário que a mensagem será enviada somente uma vez, situação que não é verdadeira. Como essa notificação não valida a conduta de um spammer, o usuário continua recebendo o conteúdo não solicitado. Algumas pessoas apóiam essa prática, sob o argumento de que um único envio da mensagem não causará transtorno algum. Porém, como isso não acontece na prática, o envio de várias mensagens pode causa um colapso na caixa de entrada do internauta. Remova-me Outra técnica conhecida consiste naquelas notificações inseridas no rodapé das mensagens, tais como: Para sair desta lista, basta responder essa mensagem com a palavra Remove ou Caso não tenha interesse em continuar a recebe este tipo de mensagem, por favor, solicite sua retirada de nossa lista de distribuição, enviando para Quando o usuário responde, esta confirmando a validade de seu endereço e, dessa forma, ele será vítima de mais spammers. Just hit delete Também conhecida pela frase Se este assunto não lhe interessar, apenas delete este , fazendo o usuário ignorar a mensagem, invés de denunciar o mesmo, sendo assim conivente com a prática de spam. 15 Combatendo o Spam - Teixeira, Renata Cicilini, 2004

30 32 Dentro da Lei Normalmente, os spammers utilizam a frase De acordo com a lei XXX, este não pode ser considerado spam..., porém a tal lei não existe, sendo mais um artifício para enganar o usuário. Essa mensagem é um spam Em alguns Estados americanos são permitidos o envio de spam, mas o spammer deve colocar no assunto da mensagem (subject) a sigla ADV (advertisement), com o intuito de sinalizar ao usuário que a mensagem trata-se de uma propaganda. Outra sigla utilizada é a MEPPS (Mensagem Eletrônica de Publicidade de Produtos e Serviços). No Brasil, a sigla NS de nãosolicitado chegou a ser aderida, com a intenção de avisar ao usuário que a mensagem era um spam. A ideia foi logo abandonada, pois notou-se que a prática incentivaria o spammer a enviar mais mensagens. Mensagens atraentes Utilizam chamadas atraentes, principalmente no assunto da mensagem, como Sua senha está inválida, Renovação de Cadastro, Cadastro de CPF, Você está sendo enganado e inúmeras outras. Assunto sem formatação Alguns spammers utilizam o artifício de usar textos no assunto da mensagem sem formatação ou com caracteres especiais para enganar os filtros de spam. Um bom exemplo é em Pr0m0câ Prejuízos diretos e indiretos O recebimento de mensagens não solicitadas provoca inúmeros prejuízos, como o consumo de banda de internet, o aumento da depreciação dos computadores devido a sobrecarga do sistema, além do tempo perdido para banir tais dispêndios. Em alguns casos, o acúmulo de

31 33 spam pode até interromper e deixar indisponível uma rede inteira, fato que compromete o desempenho da rede e dos sistemas, causando prejuízo aos provedores e, principalmente, aos usuários. O consumo de recursos computacionais ocasionados pelo spam acaba sobrecarregando ainda as conexões de internet, fazendo com que os provedores de acesso gastem cada vez mais em investimentos para aumentar a capacidade de seus servidores, somente para suprir o que é consumido pelos spammers. Problemas como esses afetam os usuários de serviços de correio eletrônico de diversas formas, tais como o não recebimento de mensagens válidas solicitadas, o acúmulo de spams na caixa postal (fato que pode impossibilitar o recebimento de mensagens válidas) e a perda de tempo para identificar e remover os spams da caixa de correio. Para se ter uma ideia, uma pesquisa realizada pela Antispameurope 16, empresa alemã especialista em soluções anti-spam, revelou que cada funcionário gasta em média 7 minutos por dia apagando esse tipo de mensagem. Isso representa um custo de 828,00 euros na produtividade, que representa cerca de R$ 2,3 milhões ao ano. No relatório divulgado este ano pela Symantec 17, empresa de segurança virtual, o Brasil consta como o terceiro maior país emissor de spam do mundo, perdendo apenas para os Estados Unidos e para a Índia. Segundo o documento, 92% dos s enviados são spams, comparados aos 89% de um ano atrás. Uma curiosidade revelada pelo relatório é que há cerca de um ano Barack Obama e Michael Jackson eram os principais chamarizes para spams. A Copa do Mundo também foi alvo dos spammers para chamar a atenção e, recentemente, o nome da empresa British Petroleum, responsável pelo grande vazamento de óleo no Golfo do México, um dos maiores da história dos EUA, foi o mais utilizado para espalhar spams pela internet. 16 Disponível em: 17 Home Page Symantec Disponível

32 34 FIGURA 7 RANKING PRELIMINAR DE ENVIO DE SPAM NO MUNDO Fonte: Outra grande empresa do mercado especializada em segurança virtual, a McAfee, demonstrou através de um levantamento 18 que os spams contribuem também para a poluição do planeta. Ou seja, ler e deletar os cercas de 62 trilhões de spams enviados ao ano consomem cerca de 33 terawatts/hs de energia sendo que, apenas para produzir essa energia, são liberados aproximadamente 20 milhões de toneladas de gases poluentes, a mesma quantidade emitida por 1,6 milhões de carros durante 365 dias em uma grande cidade. De acordo com os últimos relatórios divulgados pela Cert.br 19, felizmente a quantidade de denúncias reportadas sobre o abuso no envio de spam sofreu um grande aumento em 2009 e os resultados preliminares de 2010 mostram um novo recorde na quantidade de spam reportados. 18 McAfee Cert.br - Disponível em:

33 35 FIGURA 8 CRESCIMENTO DE SPAMS REPORTADOS AO CERT.br Fonte: CERT.br Dentre as medidas utilizadas para coibir a ação dos spammers, podemos destacar as chamadas blacklists, listagens que agrupam s, domínios ou endereços de IP denunciados como disseminadores de spam na internet. As blacklists são utilizadas por alguns provedores de e- mail como fonte de pesquisa sendo que, quando um , domínio ou IP consta nestas listas, o provedor recusa-se a receber as mensagens deste determinado endereço por não considerálo confiável. Para um , domínio ou IP ser listado em uma blacklist ele deve ser denunciado por meio de uma notificação. Para tal, é necessário identificar a origem do spam e apresentar provas do ocorrido. Como os spammers sempre encontram meios para esconder a origem do envio, o processo de denúncia fica comprometido e as provas para notificação se baseiam, normalmente, apenas nas informações contidas nos cabeçalhos das mensagens não-solicitadas

34 36 que são recebidas. No Brasil, as notificações podem ser enviadas para o criado pela Cert.br e administrado pela NIC.br, órgão responsável por tratar os incidentes de segurança em computadores que envolvam redes conectados à internet brasileira. Em outros países, as blacklists mais conhecidas são a spamcop.net e spamhaus.org. Outra providência adotada pelas empresas é a Política Anti-SPAM, que são conjuntos de padrões e diretrizes que devem ser adotadas para combater o spam. Essa política deve ser informativa e educativa, sempre esclarecendo o que é um spam e as formas de não se tornar disseminador dessa prática por falta de informação, mantendo assim os melhores métodos para utilização segura da internet. O Comitê Gestor da Internet no Brasil (CGI.br), criado pela Portaria Interministerial n 147 em maio de 1995 e alterado pelo Decreto Presidencial em setembro de 2003, é responsável pela coordenação e integração de todas as iniciativas de serviços na internet no Brasil. Com a intenção de prover maior qualidade técnica na inovação e disseminação dos serviços oferecidos, o órgão criou a Comissão de Trabalho Anti-Spam (CT-Spam), cujo intuito é recomendar, disponibilizar e promover procedimentos tecnologia para o combate do spam. FIGURA 9 ORGÃO GESTOR DA INTERNET NO BRASIL Fonte:

35 37 Logo da campanha anti-spam promovida pelo Comitê Gestor da Internet no Brasil: FIGURA 10 ORGÃO GESTOR DA INTERNET NO BRASIL Fonte: Vale lembrar que a utilização do como meio de comunicação poderá ter sua credibilidade comprometida caso não sejam encontrados caminhos viáveis e eficazes para se combater o spam. Cada vez mais ofensivos e utilizados para pornografia, fraudes e golpes por meio de códigos maliciosos para obter informações de usuários desprevenidos, como foi exposto no conteúdo deste capítulo, ele tem sido utilizado basicamente para fins ilícitos.

36 38 4. FERRAMENTAS DE SEGURANÇA 4.1. Firewall Na computação um Firewall é um dispositivo de segurança que visa controlar o tráfego de dados de uma rede de computadores para a outra, evitando a propagação de dados não permitidos ou nocivos. Atualmente, os tipos existentes são: Firewall baseado em Software; e Firewall baseado em Hardware; e também baseado em ambos 20. É vantajoso o uso de firewall porque é possível instalar um único Firewall para uma rede inteira de computadores Breve História O conceito de Firewall (muro corta-fogo) surgiu no final da década de 80, quando os roteadores separavam redes pequenas e era possível implementar aplicativos e gerenciar os recursos da melhor forma, pois, se um aplicativo demonstrasse algum problema, as demais redes não seriam afetadas. O uso do Firewall como mecanismo de segurança para redes surgiu no começo dos anos 90, onde era usado um conjunto de regras mínimas para configurar permissões de acesso O que é um firewal? Firewall: Conceitos e tipos A história do Firewall -

37 39 FIGURA 11 PEQUENO CONJUNTO DE REGRAS PARA CRIAR RESTRIÇÕES Fonte: Própria Dentre as características e funcionalidades mais comuns dos Firewalls, podemos destacar: a) Bloqueio ao receber dados baseados no destino ou fonte: Essa é a função mais evidente, pois impede o recebimento de dados não permitidos ou nocivos. b) Bloquear os acessos as dados baseando-se no destino ou na fonte: Muitos dos Firewalls também podem restringir o acesso aos dados na internet como, por exemplo, impedindo que o usuário de uma rede acesse determinados sites.

38 40 c) Bloquear dados baseando-se em conteúdo: Firewalls mais avançados e integrados a um antivírus podem fazer uma análise de conteúdo antes do bloqueio de dados, prevenindo assim que vírus adentrem a rede através dos arquivos. Isso também pode ser feito com serviços de , criando um filtro de conteúdo aceitáveis. d) Permissão para conexões com uma rede interna: Uma maneira comum para o usuário de uma rede de computadores corporativos se conectar à rede é por meio dos VPNs - Virtual Private Networks ou Rede Privada Virtual -, que fornece acessos de maneira segura entre a internet e a rede interna. Alguns Firewalls possuem essa funcionalidade VPN para permitir ao usuário uma conexão mais fácil. e) Reporta o tráfego na rede e as atividades do Firewall: É importante saber o que acontece com seu Firewall: o que ele bloqueia, tentativas de invasões na rede, tentativa de acessos a material inapropriado. Diversos Firewalls listam tais atividades e reportam as ocorrências Tipos de Firewall O funcionamento de um Firewall ocorre de forma variável, pois depende da forma como o programa foi desenvolvido e de sua aplicação. Atualmente, existem dois tipos básicos conceituais para Firewall: baseado em filtragem e controle de aplicações ou em Proxy Filtros de Pacotes Esse é o tipo mais comum de Firewall, pois é usado frequentemente em redes de pequeno e médio porte e se restringe a trabalhar nas camadas TCP/IP. Através de um conjunto de regras baseadas em informações de endereço de IP remoto, endereço de IP do destinatário e em uma 23 Firewall: O que é isso e por que precisamos deles? Disponível em:

39 41 porta TCP, o firewall determina quais endereços de IP s e podem se comunicar e/ou transmitir/receber dados. Se bem configurado, esse Firewall permite somente a comunicação entre computadores reconhecidos, em uma conexão analisa informações e possui a capacidade de notar anomalias nesta conexão e de analisar o conteúdo dos pacotes Firewall de aplicação ou Proxy Usa-se para fornecer filtros de acesso à Internet, gerando uma segurança maior para os computadores de uma rede interna ao fazer com que eles passem por um único ponto. Nos computadores servidores, esse tipo de Firewall faz com que a conexão com a internet não aconteça de maneira direta. Através do Firewall de aplicação é possível acompanhar o tráfego entre a rede e a Internet (ou de rede para rede) 24. São exemplos de aplicação: HTTP, FTP, SMTP, etc Intrusion Detection System (IDS) Um IDS (Intrusion Detection System), que em português significa Sistema de Detecção de Intrusão, é um software ou um conjunto de softwares destinados a monitorar e detectar anomalias ou atividades maliciosas em uma rede de computadores 25. As ferramentas IDS trabalham com a mesma base, analisando os pacotes de dados que trafegam na rede de computadores e identificando precisamente qualquer tipo de ataque. Através de um IDS é possível saber se um usuário legítimo do sistema está fazendo mau uso do mesmo ou se um invasor está tentando entrar. Existem IDS baseados em host HIDS (Host Intrusion Detection System), nos quais o computador concede aos usuários a comunicação com outras máquinas que estejam ligadas na rede, inclusive as NIDS (Network Intrusion Detection System) Firewall: Conceitos e tipos Cartilha de segurança para Internet 3.1 Parte VII: Incidentes de segurança e uso abusivo da rede Unifesp - Setor de Tecnologia da Informação Glossário Disponível em:

40 Sistemas baseados em Rede (NIDS) Este sistema atua em toda a rede. Diferente do HIDS, que monitora individualmente cada máquina, em NIDS todo o tráfego da rede é monitorado, identificando ataques e ameaças Sistemas baseados em Host (HIDS) Esse sistema deve ser instalado em todos os computadores de uma rede. Como é baseado em host, o HIDS consegue detectar anomalias na CPU, tais como o uso indevido excessivo de memória 27. A maior parte dos programas de computadores que podem criar um honeypot, ferramenta de segurança destinada a atrair atacantes, dentre elas o KFSensor, ferramenta que foi utilizada no estudo de caso deste trabalho, também atua como um IDS do tipo HIDS, mas o principal diferencial é que um honeypot não possui falso- positivo (quando a atividade na rede é detectada como um ataque, mas não é). A existência e localização de um honeypot devem ser mantida em sigilo, então todo o tráfego destinado ao local do honeypot deve ser considerado um ataque O que é e como funciona uma ferramenta IDS? 28 Assunção, Marcos Flávio Araújo, Honeypots e Honeynets: aprenda a detectar e enganar os invasores, pag 24 Florianópolis: Visual Books, 2009.

41 43 5. HONEYPOTS 5.1. Definição Honeypot é um recurso de segurança criado com o intento de ser sondado, atacado ou comprometido. Embora não seja uma ferramenta de segurança, tampouco preventiva, o honeypot consiste em excelente mecanismo de pesquisa, pois é capaz de fornecer informações extremamente valiosas acerca do atacante. Através do honeypot é possível detectar e analisar ataques automatizados como worms que, conforme mencionado anteriormente, não necessitam infectar outros arquivos para se multiplicar e normalmente espalham-se usando recursos da rede. O é o seu principal canal de distribuição atualmente, possibilitando a troca de informações importantes sobre a comunidade blackhat (hackers que usam seu conhecimento para cometer crime), cuja expressão é alusiva aos filmes sobre o Velho Oeste Americano, nos quais os mocinhos usavam chapéus brancos e os bandidos chapéus pretos 29. Existem dois tipos de honeypots, sendo um deles voltado para pesquisa, cujo uso se destina ao aprendizado por meio dos ataques sofridos; e honeypot de produção, que é usado para reduzir riscos e proteger uma organização. Também existe uma classificação por nível de interatividade, no qual o honeypot varia entre baixa, média e alta. Essa categorização foi apresentada por Marty Roesch, criador da ferramenta para honeypots SNORT. 30 Now that we have defined a honeypot, we will break them down into two general categories: production honeypots and research honeypots. The concept of these categories comes from Marty Roesch, developer of Snort. (SPITZNER, Lance) 29 Entenda o que faz um hacker e a polêmica em torno desta palavra Disponível em : 30 SPITZNER, Lance. Honeypots Tracking Hackers USA: Addison Wesley, 2003, Chapter 3. History and Definition of Honeypots- Definitions of Honeypots.

42 A História dos Honeypots O estudo acerca do honeypot iniciou-se em meados de 1990, com a publicação do artigo The Cucko s Egg pelo pesquisador Clifford Stoll que, durante 10 meses (entre os anos de 1986 e 1987) estudou os interesses do atacante através de armadilhas, localizando e encurralando um hacker cujo nickname era Hunter. Em 1992, Bill Cheswick publica An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied, pesquisa na qual relata o resultado de meses de estudo acerca das técnicas utilizadas por outro hacker conhecido da época, o Berferd. Cheswick revelou como criou armadilhas para o hacker e fez a primeira análise de um ataque. Finalmente, em 1997, Fred Cohen lançou o Deception Toolkit (DTK) o primeiro honeypot por excelência. O próprio termo honeypot, aliás, surgiu quando Fred Cohen desenvolveu essa ferramenta, que possuía código aberto e gratuito e utilizava uma coleção de scripts (sequência de comandos e tarefas a serem executadas) em linguagem de programação Perl e C, que simulam vários servidores e emulam diversas vulnerabilidades conhecidas em sistemas com o objetivo de enganar os atacantes, confundi-los e também obter informações. Em 1998, surgiu a primeira ferramenta comercial, Sting da CyberCop, que foi desenvolvida por Alfred Huger para Windows NT. Além de ser possível emular uma rede inteira, essa ferramenta facilitou o processo de instalação, configuração e manutenção, tornando o programa mais acessível. No mesmo ano houve o lançamento de BackOfficer Friendly, um honeypot baseado em Windows e Unix desenvolvido por Marcus Ranum e lançado pela Network Flight Recorder. Ele era livre e extremamente fácil de usar, podendo rodar em qualquer sistema de desktop Windows. Em 1999, foi criado o Honeynet Project, um grupo de pesquisa sem fins lucrativos que dedica-se a pesquisas sobre a comunidade blackhat 31. As pesquisas eram documentadas e publicadas em uma série de artigos conhecidos com Know Your Enemy (Conhecendo o Inimigo) que, em 2001 foi editado em livro. De 2000 a 2001, diversos honeypots foram usados para capturar e estudar as atividades de worms, uma vez que várias organizações adotaram a ferramenta para detectar ataques e investigar novas ameaças. 31 SPITZNER, Lance. Honeypots Tracking Hackers USA: Addison Wesley, 2003, Chapter 3. History and Definition of Honeypots- Definitions of Honeypots.

43 45 Em 2002, um honeypot é usado para detectar e capturar um ataque até então novo e desconhecido que aconteceu em servidores Solaris da Sun Microsystems, que estavam vulneráveis à falhas no serviço DTSPCD (Subprocess Control Service) que tipo de daemon - um programa que espera por outro para responder - de rede que aceita requisições de clientes para iniciar aplicações remotamente 32 e está presente na interface gráfica para desktop chamada CDE (Common Desktop Environment) 33. Esse serviço manipula requisições remotas e executa tarefas pela Internet, situação em que um arquivo compartilhado de biblioteca usado pelo DTSPC provocava um buffer overflow (estouro de memória) do sistema quando são enviados pacotes de dados convenientemente construídos. Isso permite o acesso root (usuário do sistema que possui acesso total) à máquina comprometida Tipos de Honeypots Conforme já mencionado, os dois tipos de honeypots existentes são de produção e de para pesquisa. Marty Roesch, desenvolvedor do Snort, criou o conceito de honeypots de produção e pesquisa enquanto trabalhava no GTE Internetworking. The concept of these categories comes from Marty Roesch, developer of Snort. It evolved during his work and research at GTE Internetworking. Production honeypots protect an organization, while research honeypots are used to learn. (SPITZNER, Lance) Segundo Lance Spitzner, a distinção entre honeypots de produção e honeypots de pesquisa não é absoluta, pois trata-se apenas de uma orientação para contribuir com a identificação da finalidade dos honeypots. Dessa forma, a diferença está em sua finalidade, já que podem ser usados tanto para produção quanto para pesquisa. Algo importante a ser mencionar é que ninguém da organização deve saber da existência do honeypot, pois qualquer tentativa de interação com a ferramenta será tratada como ataque. 32 Network Daemons Info Guerra Arquivo Disponível em: 34 O usuário root.-

44 Honeypots de Produção Honeypots de produção tem como objetivo diminuir o risco em redes corporativas. Com ele é possível detectar ataques nas organizações, ajudando a proteger o ambiente e diminuindo os riscos 35. Seu funcionamento se presta a uma distração, um atrativo, a fim de desnortear o foco sobre elementos importantes em uma rede. Um honeypot de produção não fornece acesso real ao sistema, pois geralmente trabalham com um nível de baixa interatividade e os serviços são simulados, livrando o sistema real dos riscos. Dessa maneira, não haverá problemas caso o atacante descubra a armadilha. Por possuir funcionalidades e riscos menores, a implantação do honeypot de produção é geralmente mais fácil do que o de pesquisa, já que é mais difícil atacar e comprometer outros sistemas Honeypots de Pesquisa Honeypots de pesquisa tem como principal objetivo investigar as possíveis ameaças que uma organização pode enfrentar, como as ferramentas utilizadas pelo atacante, e traçar um perfil do invasor, conhecendo os seus interesses e o que está buscando no sistema. Usa-se esse tipo de honeypot para se obter informações por meio da compreensão das ameaças e de como elas operam e invadem o sistema. Ele possui maior comprometimento do que o honeypot de produção porque não é um sistema simulado, mas sim o sistema operacional real, exposto com a intenção de ser atacado para permitir o estudo detalhado dos ataques sofridos. Tudo o que for comprometido e acessado por um atacante é salvo, o que gera informações mais qualificadas. Ao contrário dos honeypots de produção, os de pesquisa têm complexidade maior, riscos mais elevados e precisam de maior esforço e tempo para ser administrado Níveis de Interatividade dos Honeypots 35 SPITZNER, Lance. Honeypots Tracking Hackers USA: Addison Wesley, 2003, Chapter 3. History and Definition of Honeypots- Definitions of Honeypots.

45 47 Os níveis de interatividade dos honeypots são classificados como baixa interatividade, média interatividade e alta interatividade, classificação que serve para comparar e medir os riscos. Quanto maior a interatividade de um honeypot, maiores são as informações obtidas e, consequentemente, maiores são os riscos Baixa Interatividade Honeypots de baixa interatividade são mais fáceis de instalar e configurar. Ao implementar esse honeypot, o risco e o comprometimento do sistema é extremamente baixo, pois são emulados, e a interação do atacante e as informações são limitadas. Honeypots de produção são mais indicados para trabalhar com os honeypots de baixa interatividade e são usados para auxiliar na proteção das organizações Média Interatividade Temos aqui um meio termo entre a baixa interatividade e a alta interatividade, feita com muito cuidado e atenção para iludir o invasor, fazendo-o pensar que tem o controle sobre o ambiente. Nessa categoria, sistemas e serviços continuam sendo emulados em um ambiente falso, criado de maneira minuciosa onde o atacante em nenhum momento terá contato com o sistema real. Com esse tipo de honeypot, obtemos maior quantidade de dados se o compararmos com o de baixa interatividade, mas com funcionalidades menores do que alta interatividade. No entanto, o risco é maior do que em um ambiente de baixa interatividade Alta Interatividade Trata-se de sistemas operacionais com serviços e aplicações reais, criados para serem comprometidos e usados pelo atacante. Com isso, o intruso pode ser monitorado a cada ação, o que rende um nível alto nível informações. A implantação e manutenção deste honeypot é

46 48 extremamente demorada e complicada, pois exige uma estrutura de segurança muito bem criada. Esse nível de interatividade é indicado para trabalhar como honeypots de pesquisa. Tabela comparativa: Nível de interação Trabalho para instalar e Trabalho para implantar e manter Informação obtida Nível do risco configurar Baixo Fácil Fácil Limitada Baixo Médio Mediano Mediano Variada Médio Alto Difícil Difícil Extensa Alto TABELA 1 COMPARAÇÃO ENTRE NÍVEIS DE INTERATIVIDADE Fonte: Honeypots Tracking Hackers USA: Addison Wesley, 2002, Chapter 5 Note que quanto maior o trabalho despendido, maior será também o risco. Em contrapartida, a quantidade de informações obtidas também é maior Honeynet Honeynets são honeypots de pesquisa em alta interatividade ou honeypots de pesquisa em baixa interatividade, ligados em rede. Tal rede projeta-se de maneira a ser comprometida e com mecanismos de controle para que possam ser coletados dados e informações, a fim de impedir, por meio de técnicas preventivas, a invasão de outras redes. Existem duas formas de implementar honeynets: a honeynet real e a honeynet virtual Honeynet Real Na composição desse tipo de honeynet os serviços (sistema operacional real, com aplicações e serviços reais para cada honeypot instalado nessa honeynet) e mecanismos para contenção e

47 49 coleta de dados (firewall), geração de alertas e coleta de informações (IDS), existem de forma física, ou seja, a rede de computadores criada com honeypots existe realmente. Os dispositivos nessa honeynet não se encontram ligados entre si. Dessa forma, por ser mais descentralizado, se o sistema for violado isso não representará riscos e a honeynet não ficará comprometida. FIGURA 12 HONEYNET REAL Fonte: Própria Honeynet Virtual Em uma honeynet virtual, apenas um computador emula diversos IPs e sistemas operacionais e, como consequência, ele é capaz de simular uma rede completa. Esse processo é criado através de máquinas virtuais, um programa de computador utilizado para simular outro sistema operacional (Linux, Windows e MAC OS) dentro do seu computador. Uma grande vantagem em montar um honeynet virtual é o baixo custo, já que um único servidor pode simular todos os honeypots dentro de uma honeynet.

48 50 FIGURA 13 HONEYNET VIRTUAL Fonte: Própria 5.6. Projeto SpamPots da Cert.br O Projeto Spampots foi coordenado pelo Comitê Gestor da Internet no Brasil CGI.br. A coordenação técnica do funcionamento e articulação dos honeypots ficou sob responsabilidade do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, a CERT.br, e é mantido pelo Núcleo de Informação e Coordenação do Ponto BR NIC.br. O objetivo do projeto é a obtenção de métricas sobre o abuso de redes internet para o envio de spam através de honeypots de baixa interatividade.

49 Funcionamento O projeto foi idealizado com a implantação de 10 honeypots de baixa interatividade emulando serviços de proxy/relay aberto capturando spam. Estes honeypots foram instalados em redes de banda larga ADSL e Cabo de 5 provedores de acesso à banda larga. Um servidor central coleta e armazena os dados, realizando verificações de status em todos os honeypots. A figura 12, abaixo, ilustra a arquitetura deste sistema: FIGURA 14 ARQUITETURA DO PROJETO SPAMPOT DO CERT.br Fonte: CERT.br

50 52 6. ESTUDO DE CASO 6.1. Ferramenta Utilizada Para o estudo de caso utilizamos uma ferramenta chamada KFSensor, que é um honeypot comercial desenvolvido para a plataforma Windows e funciona simulando sistemas de serviços do mais alto nível da Rede Modelo OSI (Open Systems Interconnection), ou seja, na camada de aplicação. Ele é capaz de bloquear ataques de recusa de serviço e estouro de buffer; além de registrar os logs do atacante, podendo realizar filtros de várias maneiras para facilitar a análise em de determinada porta ou protocolo. A ferramenta simula uma grande quantidade de serviço, mas nos concentramos apenas nos seguintes: POP3, IMAP e, especialmente, o SMTP, principal alvo dos spammers uma vez que é utilizado para o envio de s. O KFSensor é um honeypot comercial e é classificado como de baixa interação/produção. A figura 15 mostra abaixo a Interface do programa Kfsensor: FIGURA 15: INTERFACE GRÁFICA DO KFSENSOR Fonte: Própria

51 Estudo de Caso 1 Ambiente Local Estrutura de Rede Foi utilizada uma estrutura de rede local em uma Estação de Trabalho, na qual foi instalado o KFSensor para simular os seguintes serviços: SMTP, POP3 e IMAP protegidos por um firewall. Desta forma, a máquina na qual a ferramenta estava instalada é real e o ambiente simulado neste equipamento é virtual. A composição física da rede local utilizada no Estudo de Caso era: Roteador Switch: Equipamento que realiza a comunicação entre diferentes tipos de redes, permitindo a comunicação entre computadores distantes entre si. O Switch realiza a comutação de pacotes dentro de uma determinada rede, isto é, encaminha os pacotes para os computadores da rede. No nosso case, utilizamos um equipamento que integra roteador e switch com tecnologia wireless que permite a conexão através de rede sem fio e com acesso à Internet. Estação de Trabalho: Sinônimo de computador pessoal, no case utilizamos notebooks como estações de trabalho. A imagem 15 mostra um diagrama da constituição da rede do ponto de vista de Sistemas Operacionais utilizados nas Estações de Trabalho: FIGURA 15 DIAGRAMA DE REDE TIPOS DE SISTEMAS OPERACIONAIS Fonte: Própria

52 54 Já para composição virtual da rede testada no Estudo de Caso, o Ambiente Simulado na Estação de Trabalho, que na figura 16 destacamos pelo nome de Honeypots, foi composto por uma rede de servidores virtuais. O objetivo do ambiente virtual é emular serviços de envio e recebimento de s. FIGURA 16 COMPOSIÇÃO DE AMBIENTE VIRTUAL Fonte: Própria Resultados Obtidos Após a instalação e configuração, começamos a analisar os logs registrados no KFSensor e observamos que a ferramenta começou a funcionar perfeitamente às 19:39 horas do dia 13 de setembro de Partimos, então, para a realização de teste com o objetivo de descobrir as portas e protocolos simulados no ambiente virtual e tentar acessá-los remotamente.

53 55 A figura 17 (abaixo) mostra o escaneamento que realizamos através do comando nmap ss o v, e IP dos honeypots. FIGURA 17 PORTAS DE MÁQUINAS COM SERVIÇOS VIRTUAIS ESCANEADAS Fonte: Própria Às 20:25 horas observamos o primeiro acesso remoto externo à nossa rede real. Este acesso foi realizado 46 minutos após a configuração do ambiente de teste e, como não divulgamos a ninguém, chegamos à conclusão que o mesmo caracteriza uma invasão. O pouco tempo levado para que nosso ambiente fosse descoberto se deve ao fato de que usamos ferramentas conhecidas como Scanners, projetadas para identificar máquinas na Internet e obter informações sobre os tipos e versões dos serviços que estão sendo executados e também encontrar vulnerabilidades em um determinado tipo de serviço. Com estas ferramentas, os spammers vasculham a internet na busca de servidores desprotegidos. A figura 18 mostra o ataque sofrido, o tempo de duração e as portas acessadas pelo invasor.

54 56 FIGURA 18 ILUSTRAÇÃO DE ATAQUE Fonte: Própria A figura 19 (abaixo), mostra com mais detalhes as informações do atacante:

55 57 FIGURA 19 DETALHES DO ATACANTE Fonte: Própria Observamos que o visitante tentou enviar através do nosso serviço SMTP simulado e, como não obteve êxito, desistiu após 5 tentativas. Concluímos que o mesmo era um spammer ou um computador configurado para realizar esta tarefa.

56 58 Abaixo, observamos o log gerado pela ferramenta: <event sensorid="honeyspam" id="49" type="mail Send Error" desc="sendmail: Rejected id:5 action="notspecified" protocol="tcp" severity="high"> <start> :25:03:562</start> <end> :25:04:921</end> <client domain="dicarlos.com" ip=" " port="25" /> <host ip=" " bindip="" port="1360" /> <connection closedby="server" /> <recbytes>287</recbytes> <received size="287" coding="kf"><![cdata[220 legs.dreamhost.com ESMTP%0D%0A 250-legs.dreamhost.com%0D%0A 250-PIPELINING%0D%0A 250-SIZE %0D%0A 250-ETRN%0D%0A 250-AUTH PLAIN LOGIN%0D%0A 250-AUTH=PLAIN LOGIN%0D%0A 250-ENHANCEDSTATUSCODES%0D%0A 250 8BITMIME%0D%0A Ok%0D%0A Recipient address rejected: Access denied%0d%0a Bye%0D%0A ]]></received> <sentbytes>90</sentbytes> <sent size="90" coding="kf"><![cdata[ehlo dicarlos.com%0d%0a MAIL RCPT QUIT%0D%0A ]]></sent> </event> O arquivo de log gerado pelo honeypot é fundamental para a análise e estudo das táticas utilizadas pelo invasor. Analisando o código, é possível saber as portas e protocolos usados

57 59 pelo invasor, além de outras informações, tal como o seu IP, a data e a hora do acesso e a interação do invasor no honeypot. Rastreamos o invasor por meio do endereço IP utilizando o comando tracert no DOS e verificamos que se trata do host: apache2-hok.legs.dreamhost.com tendo o IP : FIGURA 20 RASTREANDO O IP DO VISITANTE Fonte: Própria

58 Estudo de Caso 2 Ambiente Empresa Nesta etapa do projeto, partimos para uma análise do comportamento de um invasor em um ambiente de rede empresarial. Com uma estrutura de rede muito maior e mais abrangente, podemos analisar a interação do intruso em um ambiente mais complexo Estrutura de Rede A estrutura de rede da empresa é constituída na plataforma cliente-servidor, no qual alguns servidores provêem serviços na rede, tais como: interno, acesso a banco de dados, arquivos, acesso à internet. O ambiente é composto por 74 equipamentos conectados em rede, sendo que destes 6 são servidores e o restantes estão divididos entre microcomputadores, notebooks, impressora etc. Neste equipamentos estão instalados diferentes tipos e versões de Sistemas Operacionais, sendo que nos servidores prevalecem os sistemas baseados em Linux e nas estações de trabalho prevalece as versões do Windows. A figura 21 mostra o panorama de sistemas operacionais da rede. FIGURA 21 DIAGRAMA DA REDE TIPOS DE SISTEMAS OPERACIONAIS Fonte: Própria

59 61 A composição da rede é dividida em uma DMZ (DeMilitarized Zone) e uma Rede Local de Trabalho. A DMZ, zona desmilitarizada, é uma rede que fica localizada entre uma rede confiável e uma não confiável. O objetivo desta rede é separar os serviços que possuem acesso externo da rede local para evitar que um acesso não autorizado interfira no perfeito funcionamento da rede como um todo. No estudo de caso em questão, o gerenciamento dos acessos nas duas partes da rede é realizado por dois firewalls, sendo que: Um cuida especificamente do acesso externo à DMZ e sua função é liberar e/ou bloquear acessos de fora da rede da empresa aos computadores da DMZ. O outro gerencia o acesso dos computadores da rede interna à DMZ e às outras redes externas. O objetivo é não permitir que um usuário interno mal intencionado permita o acesso a seu computador por um usuário externo através da instalação de um programa, por exemplo. FIGURA 22 ESTRUTURA DE REDE AMBIENTE EMPRESA Fonte: Própria Optamos por colocar o honeypot dentro da rede local de trabalho para monitorar o comportamento de um invasor se o mesmo conseguir acessar alguma máquina na rede interna da empresa.

60 Resultados Obtidos Analisamos que, de certa forma, os resultados foram parecidos com o estudo de caso 1. Após configurar a ferramenta, percebemos nos relatórios que o mesmo atacante do estudo de caso 1 descobriu os serviços e as vulnerabilidades emulados na máquina e, após acessar o honeypot, tentou enviar s utilizando a conta configurada. A figura 23 mostra os acessos realizados. FIGURA 23 ACESSO EXTERNO REALIZADO: TENTATIVA DE ENVIO DE Fonte: Própria As figuras 24, 25 e 26 detalham melhor as tentativas de envio de , as portas e protocolos utilizados, o IP do invasor e o tempo de cada acesso, etc.

61 63 FIGURA 24 VISÃO DO PANORAMA GERAL DA INVASÃO Fonte: Própria

62 64 FIGURA 25 IP E PORTA UTILIZADA PELO INVASOR E EMULADA NO HONEYPOT Fonte: Própria

63 65 FIGURA 26 DETALHANDO TENTATIVA DE ENVIO DO Fonte: Própria Novamente rastreamos o invasor a partir do número do IP: e, mais uma vez, nos deparamos com o host apache2-hok.legs.dreamhost.com.br conforme figura 27.

64 66 FIGURA 27 RASTREANDO O INVASOR ATRAVÉS DO ENDEREÇO IP Fonte: Própria Logs gerados pela ferramenta: <event sensorid="kfsensor" id="10752" type="mail Send Error" desc="sendmail: Rejected id:1 action="notspecified" protocol="tcp" severity="high"> <start> :07:23:544</start> <end> :07:25:363</end> <client domain="dicarlos.com" ip=" " port="25" /> <host ip=" " bindip="" port="52848" /> <connection closedby="server" /> <recbytes>294</recbytes> <received size="294" coding="kf"><![cdata[220 legs.dreamhost.com ESMTP%0D%0A 250-legs.dreamhost.com%0D%0A 250-PIPELINING%0D%0A 250-SIZE %0D%0A 250-ETRN%0D%0A 250-AUTH PLAIN LOGIN%0D%0A 250-AUTH=PLAIN LOGIN%0D%0A 250-ENHANCEDSTATUSCODES%0D%0A

65 BITMIME%0D%0A Ok%0D%0A Recipient address rejected: Access denied%0d%0a Bye%0D%0A ]]></received> <sentbytes>103</sentbytes> <sent size="103" coding="kf"><![cdata[ehlo dicarlos.com%0d%0a MAIL RCPT QUIT%0D%0A ]]></sent> </event> Recomendações dadas à empresa. Como mostrado no case acima, se um spammer conseguir acesso à um determinado computador dentro de uma ambiente de empresa com servidores de , ele poderá fazer uso dos serviços para enviar spam. As seguintes recomendações foram dadas à empresa: Aprimorar a política interna de informática, principalmente não permitindo que um usuário instale um programa ou serviço que permita o acesso remoto através da internet sem o conhecimento e supervisão do administrador da rede; Monitorar as portas acessadas pelo invasor no honeypot; Administrar o tamanho de contas de s dos usuários; Reportar o spammer aos órgãos nacionais e internacionais; Bloquear o acesso à porta 25 de todos os hosts da rede que não sejam aqueles que estejam autorizados a executar funções de retransmissão de SMTP; Desativar computadores ou contas de correio eletrônico individuais que foram comprometidos e que estão sendo usadas para enviar spam.

66 68 Prestar serviços de envio de na porta 587, como descrito no RFC Exigir autenticação SMTP para envio de , conforme descrito na RFC Estudo de Caso 3 Ambiente Local com Estrutura Virtual Para esse estudo de caso, criamos uma máquina virtual utilizando a ferramenta Virtual Box, desenvolvida atualmente pela empresa Oracle. Emulamos o sistema operacional Windows XP Service Pack 2, instalamos o KFSensor dentro desse ambiente virtual e simulamos os seguintes serviços: SMTP, POP3 e IMAP sem a proteção de um firewall. Temos nesse estudo de caso um honeypot virtual de baixa interatividade. FIGURA 28 INTERFACE GRÁFICA DO PROGRAMA VIRTUAL BOX Fonte: Própria

67 Estrutura de Rede A composição física da rede utilizada nesta etapa é a mesma do estudo de caso 1. Composição virtual: utilizamos 3 estações de trabalho e um notebook como servidor de máquina virtual. Na figura 29 temos a ilustração do ambiente criado para este estudo de caso, onde o ambiente virtual também é o ambiente no qual foi instalada a ferramenta de honeypot. Assim como no estudo de caso 1, este ambiente tem como objetivo emular serviços de envio e recebimento de . FIGURA 29 AMBIENTE CRIADO PARA ESTUDO DE CASO 3 Fonte: Própria

68 Resultados Obtidos Criamos um domínio e um endereço de falso pelo KFSensor e, após configuração, esse ambiente foi colocado em rede. A figura 30 ilustra a hora e data do momento da tentativa de invasão pela porta 25. FIGURA 30 PRIMEIRO ATAQUE NA PORTA 25 SMTP Fonte: Própria Na figura 31 exibimos com mais detalhes o ataque, no qual o invasor tenta enviar um através de um serviço de emulado. A porta 25 foi por onde esse atacante tentou invadir. A figura exibe ainda detalhes de uma conexão mal sucedida, início e fim do ataque e a descrição do mesmo.

69 71 FIGURA 31 DETALHES DA INVASÃO NO AMBIENTE VIRTUAL Fonte: Própria Note que neste estudo de caso o IP do atacante não aparece. De acordo com as experiências nas duas análises anteriores, é possível concluir que o atacante pode ter ocultado seu IP e que também neste tipo de ambiente, honeypot virtual, as informações são mais escassas, conforme descrito no trecho do trabalho em que é mostrada as definições de honeypots de baixa interatividade. Este estudo de caso tinha o objetivo de mostrar a quantidade de informações que podem ser obtidas ao emular um sistema operacional e usá-lo como honeypot. Foi possível ver que as informações são limitadas e pouco ajudam para a tomada de decisões, mas trata-se de um recurso de segurança muito seguro, pois o atacante em momento algum teve contato com o sistema real.

Servidor de E-mails e Protocolo SMTP. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes

Servidor de E-mails e Protocolo SMTP. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Servidor de E-mails e Protocolo SMTP Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Definições Servidor de Mensagens Um servidor de

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Ferramenta de. Humberto Sartini http://web.onda.com.br/humberto

Ferramenta de. Humberto Sartini http://web.onda.com.br/humberto Uitilizando Honeypots como Ferramenta de Segurança Humberto Sartini http://web.onda.com.br/humberto Palestrante Humberto Sartini Analista de Segurança do Provedor Onda S/A Participante dos projetos: Rau-Tu

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Desenvolvimento em Ambiente Web. Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com

Desenvolvimento em Ambiente Web. Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com Desenvolvimento em Ambiente Web Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com Internet A Internet é um conjunto de redes de computadores de domínio público interligadas pelo mundo inteiro, que tem

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

UNIVERSIDADE FEDERAL DA BAHIA

UNIVERSIDADE FEDERAL DA BAHIA UNIVERSIDADE FEDERAL DA BAHIA INSTITUTO DE MATEMÁTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Italo Valcy da Silva Brito Uso de honeypots de baixa interatividade na coleta e estudo de spams no contexto do

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Segurança de Redes & Internet

Segurança de Redes & Internet Boas Práticas Segurança de Redes & Internet 0800-644-0692 Video Institucional Boas Práticas Segurança de Redes & Internet 0800-644-0692 Agenda Cenário atual e demandas Boas práticas: Monitoramento Firewall

Leia mais

FERRAMENTAS DE EMAIL Usada para visualizar emails (correio eletrônico).

FERRAMENTAS DE EMAIL Usada para visualizar emails (correio eletrônico). FERRAMENTAS DE EMAIL Usada para visualizar emails (correio eletrônico). CLIENTE DE EMAIL - OUTLOOK (Microsoft Office). - Outlook Express (Windows). - Mozilla Thunderbird (Soft Livre). - Eudora. - IncredMail.

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

Nettion Security & Net View. Mais que um software, gestão em Internet.

Nettion Security & Net View. Mais que um software, gestão em Internet. Nettion Security & Net View Mais que um software, gestão em Internet. Net View & Nettion Security Mais que um software, gestão em Internet. A Net View e a Nettion Security Software se uniram para suprir

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos.

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. REDES Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. TIPOS TIPOS LAN MAN WAN FUNCIONAMENTO DE UMA REDE TIPOS Cliente/ Servidor Ponto a ponto INTERNET Conceito 1.

Leia mais

E-mail (eletronic mail )

E-mail (eletronic mail ) E-mail (eletronic mail ) alice@gmail.com bob@yahoo.com.br Alice escreve uma carta Entrega no correio da sua cidade Que entrega pra o carteiro da cidade de Bob Bob responde também através de carta 1 Processo

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

Quando o Spam se torna um Incidente de Segurança

Quando o Spam se torna um Incidente de Segurança Quando o Spam se torna um Incidente de Segurança - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Novembro de 2003 RNP/PAL/0201 2003 RNP Sumário Introdução Spam: um pouco de história A Evolução

Leia mais

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt Santo André, novembro de 2015 Sistemas de Detecção de Intrusão IDS Sistemas de Detecção de Intrusão

Leia mais

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN www.brunoguilhen.com.br Prof. BRUNO GUILHEN MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. O processo de Navegação na Internet A CONEXÃO USUÁRIO

Leia mais

SEGURANÇA EM REDES: HONEYPOTS E HONEYNETS

SEGURANÇA EM REDES: HONEYPOTS E HONEYNETS SEGURANÇA EM REDES: HONEYPOTS E HONEYNETS Alexandre Henrique Picão Hidalgo, Júlio Cesar Pereira Universidade Paranaense (Unipar) Paranavaí PR Brasil alexandrehidalgo@gmail.com, juliocesarp@unipar.br Resumo.

Leia mais

Correio Eletrônico Outlook Express. Prof. Rafael www.facebook.com/rafampsilva rafampsilva@yahoo.com.br

Correio Eletrônico Outlook Express. Prof. Rafael www.facebook.com/rafampsilva rafampsilva@yahoo.com.br Correio Eletrônico Outlook Express Prof. Rafael www.facebook.com/rafampsilva rafampsilva@yahoo.com.br O Microsoft Outlook é o principal cliente de mensagens e colaboração para ajudá-lo a obter os melhores

Leia mais

Técnico de Informática. Modulo II Segurança de Redes. Profª. Vanessa Rodrigues. Firewall

Técnico de Informática. Modulo II Segurança de Redes. Profª. Vanessa Rodrigues. Firewall Técnico de Informática Modulo II Segurança de Redes Profª. Vanessa Rodrigues Firewall Introdução Mesmo as pessoas menos familiarizadas com a tecnologia sabem que a internet não é um "território" livre

Leia mais

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL Na internet, cada computador conectado à rede tem um endereço IP. Todos os endereços IPv4 possuem 32 bits. Os endereços IP são atribuídos à interface

Leia mais

TECNOLOGIA WEB INTERNET PROTOCOLOS

TECNOLOGIA WEB INTERNET PROTOCOLOS INTERNET PROTOCOLOS 1 INTERNET Rede mundial de computadores. Também conhecida por Nuvem ou Teia. Uma rede que permite a comunicação de redes distintas entre os computadores conectados. Rede WAN Sistema

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Ameaças, riscos e vulnerabilidades. Prof. Anderson Maia. Objetivos. ameaças mais comuns na internet;

Ameaças, riscos e vulnerabilidades. Prof. Anderson Maia. Objetivos. ameaças mais comuns na internet; Ameaças, riscos e vulnerabilidades Prof. Anderson Maia Objetivos è compreender o funcionamento de algumas ameaças mais comuns na internet; è entender como tais ameaças podem ser exploradas por meio das

Leia mais

Módulo 11 A Web e seus aplicativos

Módulo 11 A Web e seus aplicativos Módulo 11 A Web e seus aplicativos Até a década de 90, a internet era utilizada por acadêmicos, pesquisadores e estudantes universitários para a transferência de arquivos e o envio de correios eletrônicos.

Leia mais

Impactos da Gerência de Porta 25 para os Sistemas Autônomos no Brasil ou Agora Vai! :-)

Impactos da Gerência de Porta 25 para os Sistemas Autônomos no Brasil ou Agora Vai! :-) Impactos da Gerência de Porta 25 para os Sistemas Autônomos no Brasil ou Agora Vai! :-) Cristine Hoepers cristine@cert.br Klaus Steding-Jessen jessen@cert.br Centro de Estudos, Resposta e Tratamento de

Leia mais

Desenvolvimento de Aplicações Web

Desenvolvimento de Aplicações Web Desenvolvimento de Aplicações Web André Tavares da Silva andre.silva@udesc.br Método de Avaliação Serão realizadas duas provas teóricas e dois trabalhos práticos. MF = 0,1*E + 0,2*P 1 + 0,2*T 1 + 0,2*P

Leia mais

Temas para a Primeira Avalição

Temas para a Primeira Avalição Temas 1. Envio de E-Mail Anônimo Quando um usuário deseja enviar uma mensagem de correio eletrônico pela Internet, ele utiliza um programa cliente Simple Mail Transfer Protocol (SMTP), tal como o Thunderbird,

Leia mais

Humberto Sartini http://web.onda.com.br/humberto

Humberto Sartini http://web.onda.com.br/humberto Utilizando Honeypots como Ferramenta de Segurança Humberto Sartini http://web.onda.com.br/humberto Palestrante Humberto Sartini Analista de Segurança do Provedor Onda S/A Participante dos projetos: Rau-Tu

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer Netscape Navigator;

Leia mais

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16 REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16 Índice 1. SISTEMA OPERACIONAL DE REDE...3 1.1 O protocolo FTP... 3 1.2 Telnet... 4 1.3 SMTP... 4 1.4 SNMP... 5 2 1. SISTEMA OPERACIONAL DE REDE O sistema

Leia mais

Servidor de E-mails e Protocolo SMTP

Servidor de E-mails e Protocolo SMTP Campus Cachoeiro Curso Técnico em Informática Servidor E-mails e Protocolo SMTP Professor: João Paulo Brito Gonçalves Disciplina: Serviços Res Definições Servidor Mensagens Um servidor mensagens é responsável

Leia mais

SMTP Simple Mail Transfer Protocol

SMTP Simple Mail Transfer Protocol LESI PL Comunicação de Dados 1 SMTP Simple Mail Transfer Protocol 6128 João Paulo Pereira Dourado 6408 Ricardo Manuel Lima da Silva Mouta 7819 António Daniel Gonçalves Pereira 2 Estrutura da apresentação

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Segurança da Internet no Brasil e Atuação do CERT.br Cristine Hoepers

Segurança da Internet no Brasil e Atuação do CERT.br Cristine Hoepers Segurança da Internet no Brasil e Atuação do CERT.br Cristine Hoepers Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br Núcleo de Informação e Coordenação do Ponto

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Gateways de Correio Eletrônico Usando o MDaemon 6.0

Gateways de Correio Eletrônico Usando o MDaemon 6.0 Gateways de Correio Eletrônico Usando o MDaemon 6.0 Alt-N Technologies, Ltd 1179 Corporate Drive West, #103 Arlington, TX 76006 Tel: (817) 652-0204 2002 Alt-N Technologies. Todos os Direitos Reservados.

Leia mais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Manual do Nscontrol Principal Senha Admin Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Aqui, você poderá selecionar quais programas você quer que

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Normas para o Administrador do serviço de e-mail

Normas para o Administrador do serviço de e-mail Normas para o Administrador do serviço de e-mail Os serviços de e-mails oferecidos pela USP - Universidade de São Paulo - impõem responsabilidades e obrigações a seus Administradores, com o objetivo de

Leia mais

Mecanismos para Controles de Segurança

Mecanismos para Controles de Segurança Centro Universitário de Mineiros - UNIFIMES Sistemas de Informação Segurança e Auditoria de Sistemas de Informação Mecanismos para Controles de Segurança Mineiros-Go, 12 de setembro de 2012. Profª. Esp.

Leia mais

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso. Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

estudo de segurança http://web.onda.com.br/humberto

estudo de segurança http://web.onda.com.br/humberto Honeypots Ferramentas de estudo de segurança Projeto HoneyPotBR Humberto Sartini http://web.onda.com.br/humberto Palestrante Humberto Sartini Analista de Segurança do Provedor Onda S/A Participante dos

Leia mais

Redes de Computadores. Prof. André Y. Kusumoto andre_unip@kusumoto.com.br

Redes de Computadores. Prof. André Y. Kusumoto andre_unip@kusumoto.com.br Redes de Computadores Prof. André Y. Kusumoto andre_unip@kusumoto.com.br Open Systems Interconnection Modelo OSI No início da utilização das redes de computadores, as tecnologias utilizadas para a comunicação

Leia mais

Sérgio Cabrera Professor Informática 1

Sérgio Cabrera Professor Informática 1 1. A tecnologia que utiliza uma rede pública, como a Internet, em substituição às linhas privadas para implementar redes corporativas é denominada. (A) VPN. (B) LAN. (C) 1OBaseT. (D) 1OBase2. (E) 100BaseT.

Leia mais

VIRUS E SPAM. -Cuidados a ter

VIRUS E SPAM. -Cuidados a ter VIRUS E SPAM -Cuidados a ter Origem da palavra Spam PRESUNTO PICANTE? Originalmente, SPAM, foi o nome dado a uma marca de presunto picante (Spieced Ham) enlatado fabricado por uma empresa norte-americana

Leia mais

Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam

Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam Marcelo H. P. C. Chaves mhp@cert.br CERT.br Centro de Estudos, Resposta e Tratamento

Leia mais

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br FACULDADE PITÁGORAS DISCIPLINA FUNDAMENTOS DE REDES REDES DE COMPUTADORES Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br Material elaborado com base nas apresentações

Leia mais

Tecnologias e Políticas para Combate ao Spam

Tecnologias e Políticas para Combate ao Spam Tecnologias e Políticas para Combate ao Spam Cristine Hoepers Klaus Steding-Jessen Rubens Kühl Jr. CT-Spam Comissão de Trabalho sobre Spam do Comitê Gestor da Internet no Brasil http://www.cgi.br/ Reunião

Leia mais

IDS. Honeypots, honeynets e honeytokens. http://www.las.ic.unicamp.br/edmar

IDS. Honeypots, honeynets e honeytokens. http://www.las.ic.unicamp.br/edmar Honeypots, honeynets e honeytokens Motivação O meu comandante costumava dizer que para se defender do inimigo primeiro é preciso conhecer o inimigo, ou seja, conhecer seus métodos de ataque, suas ferramentas,

Leia mais

Lista de Exercício: PARTE 1

Lista de Exercício: PARTE 1 Lista de Exercício: PARTE 1 1. Questão (Cód.:10750) (sem.:2a) de 0,50 O protocolo da camada de aplicação, responsável pelo recebimento de mensagens eletrônicas é: ( ) IP ( ) TCP ( ) POP Cadastrada por:

Leia mais

ATA - Exercícios Informática Carlos Viana. 2012 Copyright. Curso Agora eu Passo - Todos os direitos reservados ao autor.

ATA - Exercícios Informática Carlos Viana. 2012 Copyright. Curso Agora eu Passo - Todos os direitos reservados ao autor. ATA - Exercícios Informática Carlos Viana 2012 Copyright. Curso Agora eu Passo - Todos os direitos reservados ao autor. ATA EXERCÍCIOS CARLOS VIANA 01 -Existem vários tipos de vírus de computadores, dentre

Leia mais

Internet - A rede Mundial

Internet - A rede Mundial Internet - A rede Mundial Fernando Albuquerque 061-2733589 fernando@cic.unb.br O que é? Qual a sua história? Como funciona? Como está organizada? Quais os serviços? Como acessar? Quais os cuidados? Qual

Leia mais

Um pouco sobre Pacotes e sobre os protocolos de Transporte

Um pouco sobre Pacotes e sobre os protocolos de Transporte Um pouco sobre Pacotes e sobre os protocolos de Transporte O TCP/IP, na verdade, é formado por um grande conjunto de diferentes protocolos e serviços de rede. O nome TCP/IP deriva dos dois protocolos mais

Leia mais

INFORMÁTICA FUNDAMENTOS DE INTERNET. Prof. Marcondes Ribeiro Lima

INFORMÁTICA FUNDAMENTOS DE INTERNET. Prof. Marcondes Ribeiro Lima INFORMÁTICA FUNDAMENTOS DE INTERNET Prof. Marcondes Ribeiro Lima Fundamentos de Internet O que é internet? Nome dado a rede mundial de computadores, na verdade a reunião de milhares de redes conectadas

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas

Leia mais

Redes de Computadores II

Redes de Computadores II Redes de Computadores II INTERNET Protocolos de Aplicação Intranet Prof: Ricardo Luís R. Peres As aplicações na arquitetura Internet, são implementadas de forma independente, ou seja, não existe um padrão

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

Configuração do Outlook para o servidor da SET

Configuração do Outlook para o servidor da SET Configuração do Outlook para o servidor da SET Selecione Ferramentas + Contas... no seu Outlook Express. Clique no botão Adicionar + Email, para acrescentar uma nova conta, ou no botão Propriedades para

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

INTERNET -- NAVEGAÇÃO

INTERNET -- NAVEGAÇÃO Página 1 INTRODUÇÃO Parte 1 O que é a Internet? A Internet é uma rede mundial de computadores, englobando redes menores distribuídas por vários países, estados e cidades. Ao contrário do que muitos pensam,

Leia mais

Redes de Computadores. Protocolos de comunicação: TCP, UDP

Redes de Computadores. Protocolos de comunicação: TCP, UDP Redes de Computadores Protocolos de comunicação: TCP, UDP Introdução ao TCP/IP Transmission Control Protocol/ Internet Protocol (TCP/IP) é um conjunto de protocolos de comunicação utilizados para a troca

Leia mais

10/07/2013. Camadas. Principais Aplicações da Internet. Camada de Aplicação. World Wide Web. World Wide Web NOÇÕES DE REDE: CAMADA DE APLICAÇÃO

10/07/2013. Camadas. Principais Aplicações da Internet. Camada de Aplicação. World Wide Web. World Wide Web NOÇÕES DE REDE: CAMADA DE APLICAÇÃO 2 Camadas NOÇÕES DE REDE: CAMADA DE APLICAÇÃO Introdução à Microinformática Prof. João Paulo Lima Universidade Federal Rural de Pernambuco Departamento de Estatística e Informática Aplicação Transporte

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Evolução Tecnológica e a Segurança na Rede

Evolução Tecnológica e a Segurança na Rede Evolução Tecnológica e a Segurança na Rede Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do Ponto br

Leia mais

Curso de Tecnologia em Redes de Computadores

Curso de Tecnologia em Redes de Computadores Curso de Tecnologia em Redes de Computadores Disciplina: Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 2: Segurança Física e Segurança Lógica Segurança

Leia mais

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas virtuais 1 Vírus A mais simples e conhecida das ameaças. Esse programa malicioso pode ligar-se

Leia mais

Combatendo o Spam. Aprenda como Evitar e Bloquear E-mails Não-solicitados. Renata Cicilini Teixeira. Novatec Editora

Combatendo o Spam. Aprenda como Evitar e Bloquear E-mails Não-solicitados. Renata Cicilini Teixeira. Novatec Editora Combatendo o Spam Aprenda como Evitar e Bloquear E-mails Não-solicitados Renata Cicilini Teixeira Novatec Editora 22 Combatendo o Spam Capítulo 1 Era uma vez... o spam Tal como no mito de Pandora, neste

Leia mais

TECNOLOGIA WEB. Principais Protocolos na Internet Aula 2. Profa. Rosemary Melo

TECNOLOGIA WEB. Principais Protocolos na Internet Aula 2. Profa. Rosemary Melo TECNOLOGIA WEB Principais Protocolos na Internet Aula 2 Profa. Rosemary Melo Tópicos abordados Compreender os conceitos básicos de protocolo. Definir as funcionalidades dos principais protocolos de Internet.

Leia mais

Novas Ameaças na Internet e Iniciativas do CERT.br e CGI.br para Combatê-las

Novas Ameaças na Internet e Iniciativas do CERT.br e CGI.br para Combatê-las Novas Ameaças na Internet e Iniciativas do CERT.br e CGI.br para Combatê-las Klaus Steding-Jessen jessen@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil CERT.br http://www.cert.br/

Leia mais

Projeto de sistemas O novo projeto do Mercado Internet

Projeto de sistemas O novo projeto do Mercado Internet Projeto de sistemas O novo projeto do Mercado Internet Mercados em potencial de serviços Serviços da Web ftp,http,email,news,icq! Mercados em potencial de serviços FTP IRC Telnet E-mail WWW Videoconferência

Leia mais

Informática Básica. Internet Intranet Extranet

Informática Básica. Internet Intranet Extranet Informática Básica Internet Intranet Extranet Para começar... O que é Internet? Como a Internet nasceu? Como funciona a Internet? Serviços da Internet Considerações finais O que é Internet? Ah, essa eu

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

SOPHUS TECNOLOGIA POLÍTICA DE ENVIO DE E-MAILS

SOPHUS TECNOLOGIA POLÍTICA DE ENVIO DE E-MAILS SOPHUS TECNOLOGIA POLÍTICA DE ENVIO DE E-MAILS Com o objetivo de manter um alto nível no serviço de e-mails, a SOPHUS TECNOLOGIA disponibiliza soluções voltadas para cada necessidade de seus clientes.

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

A Empresa. Nettion Information Security

A Empresa. Nettion Information Security Nettion Information Security A Empresa A Nettion Information Security é uma empresa de Tecnologia com foco em Segurança da Informação (SI). Tem como missão prevenir e combater as constantes ameaças oriundas

Leia mais

Combate ao Spam no Brasil SPAM. Tipos de Spam. Correntes: Boatos e lendas urbanas. Propagandas. Ameaças, brincadeiras e difamação.

Combate ao Spam no Brasil SPAM. Tipos de Spam. Correntes: Boatos e lendas urbanas. Propagandas. Ameaças, brincadeiras e difamação. Combate ao Spam no Brasil SPAM Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas O que são spam zombies? Spam zombies são computadores

Leia mais

Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro.

Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro. 1 Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro. Pelotas, 2012 2 Caroline Soares, Cristian Fernandes, Richard Torres e Lennon Pinheiro. Termos técnicos Pelotas, 2012 3 SUMÁRIO 1

Leia mais

para que quando a resposta que provenha da Internet pudesse ser permitida, ou seja, pudesse acessar o computador do usuário. Em outras palavras, o

para que quando a resposta que provenha da Internet pudesse ser permitida, ou seja, pudesse acessar o computador do usuário. Em outras palavras, o FIREWALL É utilizado para impedir que informações indesejadas entrem em uma rede ou em um computador doméstico. Em uma grande rede não é um método substituto à segurança de um servidor, mas complementar,

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

UNIVERSIDADE FEDERAL DA BAHIA

UNIVERSIDADE FEDERAL DA BAHIA UNIVERSIDADE FEDERAL DA BAHIA INSTITUTO DE MATEMÁTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Thiago Lima Bomfim de Jesus Honeypot de alta-interatividade para detecção e contenção de botnets: caso UFBA Salvador

Leia mais

FIREWALL, PROXY & VPN

FIREWALL, PROXY & VPN 1 de 5 Firewall-Proxy D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY & VPN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

TCP-IP - Introdução. Aula 02. Professor Sérgio Teixeira E-mail: sergio.professor@multicast.com.br Telefone: (27) 9989-1122

TCP-IP - Introdução. Aula 02. Professor Sérgio Teixeira E-mail: sergio.professor@multicast.com.br Telefone: (27) 9989-1122 TCP-IP - Introdução Aula 02 Professor Sérgio Teixeira E-mail: sergio.professor@multicast.com.br Telefone: (27) 9989-1122 História 1969 - Advanced Research Project Agency (ARPA) financia a pesquisa e o

Leia mais