O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM

Transcrição

1 Edi Carlos de Moura Bragança Henrique da Conceição Costa e Silva Julio Ribeiro de Souza O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM FACULDADE DE TECNOLOGIA DA ZONA SUL SÃO PAULO 2010

2 Edi Carlos de Moura Bragança Henrique da Conceição Costa e Silva Julio Ribeiro de Souza O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia da Zona Sul para a obtenção do título de Tecnólogo em Informática para Gestão de Negócios, sob orientação do Prof. Walcyr de Moura e Silva FACULDADE DE TECNOLOGIA DA ZONA SUL SÃO PAULO 2010

3 Edi Carlos de Moura Bragança Henrique da Conceição Costa e Silva Julio Ribeiro de Souza O USO DE HONEYPOTS PARA ESTUDO E COMBATE DE SPAM Aprovado em / / BANCA EXAMINADORA Prof. Walcyr de Moura e Silva Faculdade de Tecnologia da Zona Sul Prof. Luciana Silva Zapparolli Faculdade de Tecnologia da Zona Sul Prof. Eduardo Bonetti de Freitas Faculdade de Tecnologia da Zona Sul

4 AGRADECIMENTOS "As coisas boas duram pouco. O suficiente para se tornarem inesquecíveis." (Bob Marley) Eu gostaria de agradecer a minha esposa pela "paciência" e "compreensão" nas horas perdidas em frente ao computador, aos meus pais pelo confiança na minha capacidade de crescer, a DEUS por me dar força de vontade e saúde para lutar pelos meus sonhos, e ao Edi Carlos e ao Henrique, por acreditarem na minha idéia e dedicarem seu tempo a esse projeto. Julio Ribeiro Agradeço primeiramente a Deus pela oportunidade e vida, aos meus pais, Geraldo e Maria Terezinha, pelo carinho e ensinamentos, aos meus irmãos, irmãs, primos e primas pelo companheirismo e amizade, aos meus amigos e colegas de faculdade, em especial ao Henrique e Julio que empreenderam esta tarefa comigo e, em especial, agradeço a Carolina Beu pelo carinho, dedicação e atenção desprendidos a minha pessoa. Edi Carlos Moura Não é direito de ninguém tirar o sonho de um homem. (Monkey D. Luffy) Agradeço ao Srº Henrique e a Dª Maria (meus pais) por todo o amor, carinho e apoio nesta jornada; obrigado à FATEC Sul (direção, secretaria, professores e amigos de curso) pela inestimável contribuição em nossa formação pessoal e acadêmica. Edi Carlos e Julio, meus amigos, obrigado pelos anos de convivência, pelas idéias colocadas nesse trabalho e pelo companheirismo. E, em especial, o nosso obrigado ao Professor Walcyr de Moura e Silva, que nos orientou neste trabalho. Henrique Costa e Silva

5 Se você conhecer o inimigo e a si próprio, não precisará temer o resultado de cem batalhas. Se você se conhece, mas não ao inimigo, para cada vitória também sofrerá uma derrota. Se você não conhece nem ao inimigo e nem a si próprio, sucumbirá em todas as batalhas. (Sun Tzu - "A Arte da Guerra")

6 RESUMO A prática de Spams tornou-se algo extremamente incomodo, pelas mensagens indesejadas que usuários de recebem e também pelos prejuízos que essa prática tem causado as corporações e até mesmo ao meio ambiente. Tendo em vista esses problemas, fizemos um trabalho onde utilizamos uma técnica de segurança chamada honeypots. A ideia é testar sua aplicabilidade no combate de spams, a fim de contribuir com o meio ambiente, com a paciência dos usuários de e com o zelo da imagem das corporações que sofrem com fraudes causadas por spammers. Nosso trabalho tem como base o projeto Spampots da Cert.br. Palavras-chave: , honeypots, honeynet, spam, spammers.

7 ABSTRACT The practice of Spam has become extremely cumbersome, for users to receive s with spams and also the damage that this practice has caused for the corporations and even the environment. Considering these problems, we work with a security technique called honeypots, using them against the practice of spam, in order to contribute to the environment, with the patience of users of and with the zeal of image of corporations that suffer from fraud caused by spammers. Our work is based on the design of Spampots CERT.br. Keywords: , honeypots, honeynet, spam, spammers.

8 SUMÁRIO 1. INTRODUÇÃO PROPOSTA METODOLOGIA CONCEITOS O SURGIMENTO DA INTERNET HISTÓRIA DO FUNDAMENTOS BÁSICOS DO PROTOCOLOS DE IMPORTÂNCIA DO COMO MEIO DE COMUNICAÇÃO SPAM DEFINIÇÃO DE SPAM TIPOS DE ENDEREÇAMENTOS PREJUÍZOS DIRETOS E INDIRETOS FERRAMENTAS DE SEGURANÇA FIREWALL BREVE HISTÓRIA TIPOS DE FIREWALL FILTROS DE PACOTES FIREWALL DE APLICAÇÃO OU PROXY INTRUSION DETECTION SYSTEM (IDS) SISTEMAS BASEADOS EM REDE (NIDS) SISTEMAS BASEADOS EM HOST (HIDS) HONEYPOTS DEFINIÇÃO A HISTÓRIA DOS HONEYPOTS TIPOS DE HONEYPOTS HONEYPOTS DE PRODUÇÃO HONEYPOTS DE PESQUISA NÍVEIS DE INTERATIVIDADE DOS HONEYPOTS BAIXA INTERATIVIDADE MÉDIA INTERATIVIDADE... 47

9 ALTA INTERATIVIDADE HONEYNET HONEYNET REAL HONEYNET VIRTUAL PROJETO SPAMPOTS DA CERT.BR FUNCIONAMENTO ESTUDO DE CASO FERRAMENTA UTILIZADA ESTUDO DE CASO 1 AMBIENTE LOCAL ESTRUTURA DE REDE RESULTADOS OBTIDOS ESTUDO DE CASO 2 AMBIENTE EMPRESA ESTRUTURA DE REDE RESULTADOS OBTIDOS RECOMENDAÇÕES DADAS À EMPRESA ESTUDO DE CASO 3 AMBIENTE LOCAL COM ESTRUTURA VIRTUAL ESTRUTURA DE REDE RESULTADOS OBTIDOS CONCLUSÃO REFERÊNCIAS BILBLIOGRÁFICAS ANEXOS ANEXO A ESTUDO DE CASO I ANEXO B ESTUDO DE CASO II ANEXO C ESTUDO DE CASO III ANEXO D DENÚNCIA DE INVASÃO

10 LISTA DE FIGURAS E TABELAS FIGURA 1 ESBOÇO DOS AGENTES DO PROCESSO DE COMUNICAÇÃO FIGURA 2 ESBOÇO DA FORMAÇÃO DO FIGURA 3 ESBOÇO DO ENVIO DE FIGURA 4 ENVIO DE FIGURA 5 O USO DE NA AMÉRICA DO NORTE, EMEA E APAC FIGURA 6 ENLATADO SPAM FIGURA 7 RANKING PRELIMINAR DE ENVIO DE SPAM NO MUNDO FIGURA 8 CRESCIMENTO DE SPAMS REPORTADOS AO CERT.BR FIGURA 9 ORGÃO GESTOR DA INTERNET NO BRASIL FIGURA 10 ORGÃO GESTOR DA INTERNET NO BRASIL FIGURA 11 PEQUENO CONJUNTO DE REGRAS PARA CRIAR RESTRIÇÕES TABELA 1 COMPARAÇÃO ENTRE NÍVEIS DE INTERATIVIDADE FIGURA 12 HONEYNET REAL FIGURA 13 HONEYNET VIRTUAL FIGURA 14 ARQUITETURA DO PROJETO SPAMPOT DO CERT.BR FIGURA 15 DIAGRAMA DE REDE TIPOS DE SISTEMAS OPERACIONAIS FIGURA 16 COMPOSIÇÃO DE AMBIENTE VIRTUAL FIGURA 17 PORTAS DE MÁQUINAS COM SERVIÇOS VIRTUAIS ESCANEADAS FIGURA 18 ILUSTRAÇÃO DE ATAQUE FIGURA 19 DETALHES DO ATACANTE FIGURA 20 RASTREANDO O IP DO VISITANTE FIGURA 21 DIAGRAMA DA REDE TIPOS DE SISTEMAS OPERACIONAIS FIGURA 22 ESTRUTURA DE REDE AMBIENTE EMPRESA FIGURA 23 ACESSO EXTERNO REALIZADO: TENTATIVA DE ENVIO DE FIGURA 24 VISÃO DO PANORAMA GERAL DA INVASÃO FIGURA 25 IP E PORTA UTILIZADA PELO INVASOR E EMULADA NO HONEYPOT FIGURA 26 DETALHANDO TENTATIVA DE ENVIO DO

11 FIGURA 27 RASTREANDO O INVASOR ATRAVÉS DO ENDEREÇO IP FIGURA 28 INTERFACE GRÁFICA DO PROGRAMA VIRTUAL BOX FIGURA 29 AMBIENTE CRIADO PARA ESTUDO DE CASO FIGURA 30 PRIMEIRO ATAQUE NA PORTA 25 SMTP FIGURA 31 DETALHES DA INVASÃO NO AMBIENTE VIRTUAL... 71

12 LISTA DE ABREVIATURAS E SIGLAS ADSL- Asymmetric Digital Subscriber Line ADV - Advertisement ARPANET - Advanced Research Projects Agency Network ATM - Asynchronous Transfer Mode CEO - Chief Executive Officer CGI - Comitê Gestor da Internet no Brasil CNPQ - Conselho Nacional de Desenvolvimento Cientifico e Tecnológico CPU - Central Processing Unit CSNET - Computer Science Network DARPA - Defense Advanced Research Projects Agency DMZ - DeMilitarized Zone DNS - Domain Name System FTP - File Transfer Protocol HIDS - Host Intrusion Detection System HTML - HiperText Markup Language HTTP - HyperText Transfer Protocol IDS - Intrusion detection system IMAP - Internet Message Access Protocol IP - Internet Protocol MDA - Mail Delivery Agent MEPPS - Mensagem Eletrônica de Publicidade de Produtos e Serviços MIME - Multipurpose Internet Mail Extensions MTA - Mail Transfer Agent MX - Mail exchanger NIDS - Network Intrusion Detection System NSFnet - National Science Foundation OSI - Open Systems Interconnection PC - Personal Computer POP3 - Post Office Protocol RFC - Request For Comments RNP- Rede Nacional de Pesquisas SNDMSG - Send Message

13 SMTP - Simple Mail Transfer Protocol SPF - Sender Policy Framework TCP/IP - Transmission Control Protocol/Internet Protocol UBE - Unsolicited Bulk UCE - Unsolicited Commercial USENET - Unix User Network VPNs - Virtual Private Networks

14 16 1. INTRODUÇÃO 1.1. Proposta Desde o seu surgimento, o desempenha um papel importantíssimo na comunicação entre pessoas, empresas, governos etc. Características como agilidade, baixo custo, usabilidade, segurança, privacidade, entre outras, contribuíram para a evolução e adesão da ferramenta em praticamente todas as empresas do mundo, sobretudo as que estão preocupadas em documentar e formalizar seus processos. Tamanha funcionalidade legitimou o uso do e- mail como mais um sistema de comunicação de massa. No entanto, essa notoriedade também impulsionou o aparecimento de uma inconveniência: o SPAM. Em poucos anos, o recebimento de mensagens não solicitadas tornou-se um dos maiores pesadelos aos usuários de , seja no âmbito doméstico ou profissional. De acordo com estimativas da empresa Cisco 1, só no ano de 2009 cerca de 300 bilhões de SPAMs circularam no mundo. Para este ano de 2010, as projeções de aumento variam de 30% a 40%. Segundo dados da Spamcop 2, de janeiro de 2010 até Outubro de 2010, foram reportados a impressionante cifra de spams no mundo, sendo que este número refere-se apenas aos casos reportados à empresa. Esta informação nos leva a supor que o número real de spams no mundo seja muito superior aos valores estimados. No contexto nacional o quadro é preocupante: em 2009 o Brasil foi o campeão de envio de spams no mundo 3, tendo uma cifra de de spams ficando a frente de países como Estados Unidos e Índia. Os imensos prejuízos causados por spams levaram os provedores de s a desenvolverem técnicas de filtragens e combate que, com o passar dos anos, não se mostraram eficientes o bastante para eliminar este tipo problema. Pelo contrário, o que observamos é a incidência cada vez maior de danos decorrentes da expressiva circulação de spams em todo o mundo. A 1 Cisco 2009 Annual Security Report - Disponível em 2 SpamCop.net Total spam report volume Disponível em 3 CGI.br - Disponível em

15 17 proposta deste trabalho acadêmico é mostrar como o uso de Honeypot, recurso de segurança criado com o intento de ser sondado, atacado ou comprometido, pode contribuir para o combate ao envio de spam, seja em um ambiente de rede local/doméstico ou empresarial. Em suma, ao final desta pesquisa esperamos ter contribuído para o alcance de um mundo livre de spams Metodologia Este trabalho acadêmico está dividido em sete capítulos. Na primeira parte, apresentaremos de maneira breve a história da Internet e do , destacando o contexto em que cada um surgiu e a importância dos mesmos no cenário tecnológico atual. Em um segundo momento, discorremos sobre o funcionamento do do ponto de vista técnico, destacando o surgimento e o significado dos termos spam e spammers, os principais tipos de filtros Anti-Spam e uma análise dos prejuízos causados pelos mesmos às empresas e aos usuários. A terceira parte da pesquisa aborda os mecanismos de segurança em um ambiente de rede. A breve história do papel do firewall, suas características e diferentes funcionalidades também serão apresentadas. Neste contexto, abordaremos ainda IDS, sistemas de detecção de intrusão e NIDS, sistema de detecção de intrusão baseado em rede de computadores, como mecanismos importantes para garantir a segurança de uma rede de computadores. O quarto item é dedicado à história e ao conceito de Honeypots, discorrendo acerca dos tipos existentes, seus níveis de interatividade e sua aplicabilidade. Falamos ainda sobre o conceito de Honeynet e de sua importância no combate a invasões de sistemas de computadores. Para exemplificar, citamos brevemente o projeto SpamPots da Cert.br. No quinto capítulo, demonstramos o funcionamento de um Honeypot através de uma ferramenta específica que simula diversos tipos de serviços e servidores. Essa demonstração é decorrente de três estudos de caso avaliados para a pesquisa, tema da sexta divisão do presente trabalho, nos quais apresentamos uma estrutura real e outra simulada, que nos permitiram compreender o funcionamento de ambos os processos. Na sétima e última parte, propomos um texto conclusivo, no qual analisamos os ganhos obtidos neste projeto e os caminhos que podem ser percorridos no combate eficiente ao spam e, principalmente, aos spammers.

16 18 2. CONCEITOS 2.1. O surgimento da Internet Após a Segunda Guerra Mundial, o mundo viu-se mergulhado na chamada Guerra Fria, isto é, um conflito não declarado entre as duas principais potências mundiais do período pós-guerra, Estados Unidos e a Ex-União Soviética. Segundo Caiçara Junior 4, neste período a informação ganhou um caráter estratégico, impulsionando a polarização política e a corrida armamentista no pós-guerra. Os anos de 1960 e 1970 foram marcados pela Guerra Fria entre os EUA e a União Soviética. Nessa época, a informação se tornou variável estratégica na competição entre esses dois países. Havia ainda a necessidade de proteger os dados, transmitindo-os à rede de comando de forma segura, flexível e confiável. A compreensão de que a informação em um cenário de guerra é extremamente importante impulsionou o surgimento de uma tecnologia focada na criação, transmissão, gestão e manipulação da informação. Em 1967, uma agência de projetos e pesquisas avançadas norteamericana composta por cientistas e militares, a chamada Defense Advanced Research Projetcs Agency (Darpa), desenvolveu uma rede para compartilhar dados sigilosos que ficou conhecido como Arpanet. Esta rede possuía a característica de não ter nenhum ponto de controle central, pois as mensagens enviadas seriam quebradas em pequenas partes, chamadas de pacotes, que seriam enviados por meio da rede e reconstruídos no destino final. A comunicação entre os computadores ocorreria de forma independente. Todas as máquinas estariam conectadas entre si e a mensagem possuía o emissor, o meio de transporte e o destinatário final. Assim, para destruir a comunicação, seria necessário destruir toda a rede. A partir de 1969, um grupo de universidades americanas obteve um expressivo sucesso ao integrar os seus servidores, computadores utilizados para prover serviços na rede. Dessa forma, outras universidades aderiram a iniciativa e contribuíram para o aumento do tamanho e do uso da rede. 4 Informática, Internet e Aplicativos - Cícero Caiçara Junior, 131

17 19 O número cada vez maior de pesquisadores envolvidos no desenvolvimento e na utilização da nova tecnologia marcou o surgimento de uma contracultura baseada na propagação de novos procedimentos que, repassados de pessoa a pessoa, foram capazes de gerar uma verdadeira revolução sociocultural dentro da própria revolução tecnológica 5. De Fato, parece que o surgimento de um novo sistema tecnológico na década de 1970 deve ser atribuída à dinâmica autônoma da descoberta e difusão tecnológica, inclusive aos efeitos sinérgicos entre todas as várias principais tecnologias. (Castells, 1999:97) Com o crescimento da Arpanet, tornou-se difícil separar a pesquisa voltada para fins militares das comunicações e conversações pessoais na rede. Por essa razão, ao final da década de 1970 optou-se por dividir a rede em duas: uma destinada exclusivamente à pesquisa, chamada de nova Arpanet, e outra com objetivos especificamente militares, que passou a ser conhecida como Milnet. A partir deste período foram criadas diversas redes. Na década de 80 a National Science Foundation, em parceria com a IBM também se envolveu na criação da CSNET, outra rede com caráter cientifico, cuja espinha dorsal do sistema de comunicação era a ARPANET. A rede das redes que se formou durante esta década passou a ser chamada de ARPA-INTERNET e, logo depois, de INTERNET, a rede mundial de computadores. Após vinte anos de operação a ARPANET tornou-se obsoleta e encerrou as atividades em 28 de fevereiro de A NSFNET, operada pela National Sciense Foudantion, assumiu o posto de espinha dorsal da Internet, assim a operação da rede ainda estava nas mãos do governo. Contudo, o aparecimento e o crescimento de redes de empresas privadas, as pressões comerciais e as redes cooperativas sem fins lucrativos levaram à privatização total da Internet. O início da internet no Brasil também se deu através do meio acadêmico, sendo que a tecnologia foi trazida pela Rede Nacional de Pesquisas (RNP) em parceira com o Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPQ). Atualmente, a Internet conta com mais de 1,6 bilhões de pessoas conectadas à rede 6. Destes internautas, cerca de 67 milhões são brasileiros e este número cresce constantemente. 5 A sociedade em Rede - Manuel Castells, 1999:97 6 Revista Cert.br - Disponível em:

18 História do Os sistemas de informação baseados em computadores surgiram para atender as necessidades humanas de lidar com inúmeros dados, isto é, toda e qualquer coisa abstraída ou não do mundo real de forma não ordenada, e transformá-los em informação, que é a ordenação de dados de uma forma compreensível e regidos por alguma lógica implícita. Uma das principais formas de comunicação dos seres humanos é o processo da fala, expressa por meio dos sons e de palavras. Para que o processo de comunicação seja efetivo, se faz necessária a presença de alguns agentes. São eles: Emissor Mensagem Meio de Transmissão Receptor ransmissão FIGURA 1 ESBOÇO DOS AGENTES DO PROCESSO DE COMUNICAÇÃO Fonte: Própria. O correio eletrônico ou é o método de composição, envio e recebimento de mensagens através de sistemas eletrônicos de comunicação. O , tal como conhecemos hoje, surgiu em meados da década de 1990, com o aparecimento dos primeiros provedores de hospedagem, em que o usuário ganhava uma conta assim que assinava o serviço. As mensagens são compostas basicamente por texto em formato HTML (HiperText Markup Language) e anexos, arquivos que podem ser indexados às mensagens. Como o também é um processo de comunicação, contém os mesmos agentes do descrito acima, sendo que: Emissor: é o usuário de que cria a mensagem; Mensagem: é o conteúdo do , basicamente composto por texto. Meio de Transmissão: ferramenta pela qual o chegará ao destinatário, seja através da rede interna de uma empresa ou da internet. Receptor: é o usuário de a quem está destinada a mensagem.

19 21 É importante ressaltar que correio eletrônico surgiu antes mesmo da internet e seu objetivo sempre foi permitir que os usuários de computador se comunicassem por meio dos próprios equipamentos. No inicio, só era possível trocar mensagem entre usuários de um mesmo computador. Para resolver esta situação e permitir a identificação dos usuários um padrão foi criado: o programador Ray Tomlinson 7 optou por utilizar o (arroba) para separar os nomes do usuário da máquina no endereço eletrônico. Sendo assim, um endereço eletrônico ou é composto da seguinte forma: nomedousuario + o símbolo + o nomedomínio = nomedousuario@nomedomínio FIGURA 2 ESBOÇO DA FORMAÇÃO DO Fonte: Própria O software criado por Tomlinson era extremamente simples e possuía menos de 200 linhas de código. Conhecido como SNDMSG (Send Message), esse programa possibilitou o envio das primeiras mensagens entre os usuários conectados ao mesmo PC. Usando o protocolo de transferência de dados CYPNET foi possível trocar mensagens através da ARPANET. Com a criação foi possível distinguir o usuário que criou a mensagem do nome da máquina que a enviou, identificando assim emissores e destinatários. Desta forma, tornou-se possível a troca de mensagem entre usuários de computadores diferentes através da Internet. Para enviar e receber uma mensagem de foi necessário criar um sistema de correio eletrônico, composto por programas de computadores que suportam a funcionalidade de cliente de e de um ou mais servidores, sendo este um computador que, através de um endereço de correio eletrônico, transfere uma mensagem de um usuário para outro. 7 Cuidado, a Internet esta viva - Alexandre Barbosa, 2005:14

20 Fundamentos Básicos do O é constituído basicamente de duas sessões: o cabeçalho que contém informações sobre o destinatário, remetente, data e outras informações sobre a mensagem; e o corpo (body), que contém o conteúdo da mensagem a ser lida. Hoje, o possui uma padronização de seu formato, tendo em vista maior agilidade e segurança na hora de enviar e receber mensagens dos diferentes provedores. Esse formato convencional é definido por meio de uma RFC (Request For Comments), que consiste em um conjunto de documentos de referência junto à Comunidade Internet que descrevem, especificam, ajudam na aplicação, estandardizam e debatem a maioria das normas, padrões de tecnologias e protocolos ligados à Internet e às redes em geral. A RFC 2822 e uma série de outras RFC s (RFC 2045 até a RFC 2049), conhecidas como MIME, são o que determinam hoje como um deve ser constituído. Ao receber uma mensagem, o usuário pode visualizá-la de duas formas: através dos chamados clientes de exclusivos ou por uma interface Web. Cliente de é um programa de computador que permite enviar, receber e personalizar mensagens. Microsoft Outlook, Outlook Express, Eudora, Pegasus ou Mozilla Thunderbird são os principais exemplos desse tipo de ferramenta. Hoje em dia também é possível assinar serviços gratuitos como o Hotmail, o Gmail ou o Yahoo, entre outros. Eles podem ser acessados através de uma página Web e são conhecidos como WebMail. Os clientes de s possuem algumas características: Permitem utilizar múltiplas contas de correio eletrônico ao mesmo tempo; criar e armazenar uma lista de contatos; criar, enviar, receber e ler mensagens; armazenar o no disco rígido; apresentar uma lista de todas as mensagens em sua caixa de correio;

21 23 Para enviar e receber as mensagens é necessário um servidor de . De acordo com (TEIXEIRA 2004), servidor é o programa de computador que provê algum tipo de serviço para outros programas, executados no mesmo computador ou em outros, remotamente. Dessa forma, os servidores de s são imprescindíveis para a existência de um sistema de correio eletrônico. De maneira simplificada, o funcionamento deles consiste em uma lista de contas, também chamada de caixas postais, sendo que, a cada nova mensagem recebida, o servidor salva um arquivo de texto na caixa postal correspondente, na ordem que as mensagens são entregues. FIGURA 3 ESBOÇO DO ENVIO DE Fonte: Protocolos de POP3 (Post Office Protocol) é o protocolo padrão para acesso e recuperação de s. Esse protocolo é responsável pela comunicação e transferência de um cliente de POP3 e o servidor de , definindo onde estão armazenados os arquivos de texto. Ao enviar uma mensagem, o cliente de conecta-se a um servidor SMTP (Simple Mail Transfer Protocol), gerando um protocolo TCP/IP, que é o padrão internacional utilizado para transferência de correspondências eletrônicas entre computadores. Sendo assim, o provedor insere algumas informações no cabeçalho da mensagem e esses dados são usados pelos servidores para interpretar algumas informações sobre a mensagem. O servidor SMTP se conecta, então, ao provedor do destinatário no servidor MX (Mail exchanger conhecido também como MX Record, que é um tipo de recurso no registro do DNS) e, antes de aceitar a entrega da mensagem, o MX faz uma verificação de SPF (o

22 24 Internet-Draft "Sender Policy Framework SPF - for Authorizing Use of Domains in e define algumas possíveis interpretações para os resultados obtidos. Esse é um sistema que previne o envio de s não autorizados em nome de um domínio, pois a consulta de SPF é feita para verificar a legitimidade do destino da mensagem. Para isso, são utilizados os TXT dos domínios encontrados no From/Reply-To/Return-Path do cabeçalho da mensagem. Esses resultados são obtidos por meio de uma consulta à zona DNS do remetente na entrada TXT. Dessa forma, o provedor só aceita a mensagem daquele domínio se o IP que pretende entregar a mensagem estiver no range de IP na zona DNS daquele mesmo domínio. Após o recebimento da mensagem, um servidor chamado de MTA (do inglês Mail Transfer Agent ou Agente de Transferência de Mensagens) tem a função de enviá-la para o MDA Mail Delivery Agent (Agente de Entrega de Mensagens) que deve salvar o arquivo em um disco rígido Storage (servidor de armazenagem de dados). FIGURA 4 ENVIO DE Fonte: Própria

23 25 Para acessá-lo posteriormente, o usuário pode utilizar dois protocolos: o POP3 e o IMAP. O POP3 é um dos protocolos mais utilizados por leitores que utilizam clientes de . As mensagens são transferidas do servidor para o computador local quando o usuário se conecta através de seu usuário e senha. O usuário pode usar também o IMAP (Internet Message Access Protocol), outro protocolo padrão utilizado por clientes de para ter acesso às mensagens que chegam ao servidor. Diferentemente do POP3, o IMAP sincroniza as alterações feitas do computador local ao servidor de , sendo que, para que isso ocorra, a conexão deve estar sempre ativa, pois há uma constante interação. Esta opção é útil para pessoas que lêem seus s de diferentes computadores e utilizam de forma dinâmica pasta e subpastas. De acordo com o autor JAMES BRYCE 8, essas são as funções essenciais Importância do como meio de Comunicação Ao longo dos anos, o correio eletrônico vem desempenhando um importante papel como ferramenta de comunicação. Com a evolução da internet para meio de comunicação em massa, a existência do tornou-se imprescindível para milhões de internautas. Segundo análises da empresa Radicati Group 9, já em 2009 o número de usuários de era de 1,4 bilhões e as projeções para 2013 são de que este contingente aumentará para 1,9 bilhões de pessoas. Estes números nos dão uma dimensão da grandiosidade do como forma de comunicação.algumas razões que levaram o a ser uma importante ferramenta de comunicação são: Custo - o barateou a comunicação entre as pessoas, principalmente para as empresas. Com o aparecimento de provedores que oferecem contas de s gratuitas, a adesão por parte dos usuários domésticos tornou-se comum; Alcance Global com a progressiva expansão da rede, o alcance da ferramenta é globalizado. 8 James Bryce Disponível em 9 Radicati Group Disponível em

24 26 Agilidade - com o avanço tecnológico, enviar e receber tornou-se uma tarefa extremamente ágil; Segurança com as normas da RFC 2554, relacionada à exigência de autenticação SMTP, foram implementadas normas de segurança com o objetivo de torná-lo uma ferramenta segura. Privacidade o uso do permite maior privacidade ao usuário em aspectos como conteúdo das mensagens, destinatários, envio de arquivos confidenciais, etc.; Identidade do internauta - inúmeros serviços são utilizados através de uma conta de e- mail, por exemplo: acesso às redes sociais, comércio eletrônico, Instant Messenger, blogs, hospedagem de sites e etc. A figura 5 mostra uma pesquisa realizada pela Global Consumer's Epsilon 10 na América do Norte, EMEA (Europa, Oriente Médio e África) e APAC (Ásia-Pacífico), confirmando o e- mail como a principal ferramenta usada para a comunicação pessoal on-line pela geração Y, também conhecidos como Millennials, que são pessoas nascidas entre os anos 80 a FIGURA 5 O USO DE NA AMÉRICA DO NORTE, EMEA E APAC Fonte: Epsilon (June, 2009) 10 Global Consumer's Epsilon - Disponível em:

25 27 3. SPAM 3.1. Definição de spam O termo spam é utilizado para denominar s de cunho comercial que não são solicitados pelo usuário. A grande diferença entre o spam e as outras formas de propagandas invasoras como o telemarketing, a panfletagem ou malas diretas consiste no fato de que, no fim das contas, é o destinatário quem arca com os custos. O spam é considerado uma praga virtual devido a sua rápida propagação na internet e pelo grande incômodo causado, pois, geralmente, essas mensagens são enviadas indiscriminadamente à milhares de pessoas. Em algumas partes do mundo, a prática também é conhecida como Junk, que ao pé da letra significa LIXO. Segundo a Cartilha de Segurança da Cert.br 11, quando o tipo de conteúdo desses s é exclusivamente comercial, essas mensagens também são conhecidas como: UBE (Unsolicited Bulk ), que são os s não-solicitados enviados em grande quantidade são conhecidos como bulk. UCE (Unsolicited Comercial ), que são os s comerciais não-solicitados e seu envio é feito simplesmente para fazer propaganda. A origem da palavra é atribuída a uma marca norte-americana de presunto condimentado. O enlatado SPAM é fabricado nos Estados Unidos pela empresa Hormel Foods 12 desde 1930 e é comercializado no mundo inteiro. Associação entre a marca do enlatado com as mensagens eletrônicas indesejadas ocorreu devido a um programa de TV veiculado na década de O produto foi tema de um dos episódios da série estrelada pelo grupo de comediantes Monty Python, que encenavam em uma taverna de vikings. A cena apresentava um casal consultando um cardápio no qual todos os pratos disponíveis continham SPAM. Enquanto o casal conversa com a garçonete, os vikings recitam por diversas vezes a palavra spam, situação que se tornava cada vez mais irritante. 11 Cartilha de Segurança Glossário. Disponível em: 12 Home Page da empresa - Disponível em:

26 28 Dessa forma, quando as primeiras mensagens não solicitadas passaram a ser enviadas repetidas vezes, o fato foi logo associado a cena da referida série. A Hormel, empresa detentora da SPAM, repudia a utilização de sua marca em comparação às mensagens indesejadas, tanto que disponibilizou em seu site uma nota de esclarecimentos sobre o SPAM: SPAM & the Internet - We do not object to use of this slang term to describe UCE, although we do object to the use of the word "spam" as a trademark and to the use of our product image in association with that term. Also, if the term is to be used, it should be used in all lower-case letters to distinguish it from our trademark SPAM, which should be used with all uppercase letters. 13 FIGURA 6 ENLATADO SPAM Fonte: 13 A nota de esclarecimento na íntegra - Disponível em:

27 29 O ano de 1994 foi marcado pelo primeiro envio de spam, quando dois advogados postaram uma mensagem em todos os grupos de discussão da USENET, fazendo propaganda de uma loteria para imigrantes nos Estados Unidos conhecida como green cards. Os autores do envio foram Canter e Siegel que, nos dia 5 de março e 12 de abril daquele ano, postaram a propaganda de sua loteria com a ajuda de um programador que aperfeiçoou o processo. Esse acontecimento provocou a ira da comunidade que utilizava a USENET na época e o incidente passou a ser considerado a primeira grande violação da Netiqueta (guia de boas maneiras na internet). Dentre os diversos tipos de spam, os boatos (hoaxes) são os mais populares, pois seus conteúdos normalmente são apelativos e comoventes. Para se ter uma ideia, um dos primeiros boatos que se tem conhecimento na história da internet brasileira ocorreu em julho de 2003, quando a Coca Cola do Brasil foi acusada de omitir informações a respeito de supostos componentes cancerígenos na composição do refrigerante Kuat. O caso foi logo desmentido pela empresa. Outro boato muito famoso que circulou foi sobre o tema roubo da Amazônia pelos EUA e mostrava um Mapa Mundi que destacava a Amazônia como zona internacional. A repercussão foi tamanha que o Itamaraty emitiu uma nota oficial para desmentir o caso. Considerada uma evolução do boato, as chamadas correntes fazem com que o usuário reenvie a mensagem para outras pessoas e, dessa forma, a distribuição do spam acaba sendo feita pelo próprio destinatário. Ou seja, o spammer só tem o trabalho de fazer os primeiros envios e os demais usuários fazem o restante do trabalho. Para isso, são utilizados artifícios que estimulam o usuário a enviar as mensagens, como frases do tipo se você enviar essa mensagem para N contatos nas próximas X horas, você concorrerá a um super brinde. Análogas a essa categoria estão as famosas lendas urbanas, que são histórias que ninguém sabe ao certo a origem e ou a veracidade. Mesmo assim, infelizmente, elas são espalhadas aos montes pela rede todos os dias. Assim como no mundo real, o mundo virtual está cheio de pessoas mal intencionadas que praticam fraudes e golpes. Dessa forma, muitos criminosos se apóiam em sistemas de lojas virtuais ou Internet Banking e utilizam spams para espalhar códigos maliciosos (malware) que causam danos ao funcionamento dos sistemas. Essas mensagens podem conter vírus que são

28 30 capazes de se multiplicar e infectar outros programas, worms que fazem cópias de si mesmo e se espalham por toda a rede ou trojans (cavalos de tróia) que podem permitir o controle de todo um sistema. Outros tipos de spams conhecidos são os que veiculam conteúdos pornográficos e/ou pedófilos. Objeto de forte investigação por parte de instituições como a Polícia Federal, esse tipo de crime já rendeu a prisão de vários spammers. Existem também as mensagens que contem ameaças ou brincadeiras, que são utilizadas para difamar pessoas ou instituições. Recentemente, outra categoria foi descoberta: são os chamados SPIM, cujos alvos são os programas de comunicadores instantâneos e as redes sociais Tipos de endereçamentos O fato é que os spammers estão utilizando artifícios cada vez mais eficazes para convencer o usuário a abrir as mensagens - e até respondê-las. Essa situação é preocupante, pois pode validar a legitimidade de um endereço de e incluí-lo na base de contato dos spammers. As técnicas mais utilizadas pelos spammers visam dificultar a identificação da origem do envio para que eles possam se manter no anonimato. Devido a sua importância, os servidores de s se tornaram alvos constantes de tentativas de ataques e invasões, a fim de se prestarem como ferramenta de envio de mensagens em massa. Vale ressaltar que os servidores que possuem relays abertos são MTAs que transmitem mensagens de qualquer domínio, ou mesmo só de domínios determinados, para qualquer outro, sem pedir autenticação, sem restringir (ou restringindo muito pouco) a faixa de endereços IP de origem 14 e são os que mais propiciam o envio de arquivos em grandes quantidades. De maneira sucinta, um servidor com relays aberto (open relays) é capaz de enviar mensagens mesmo que o remetente e o destinatário não sejam usuários cadastrados em seu sistema. Este tipo de configuração não é recomendada e nos tempos atuais é utilizada apenas para o envio de spam. 14 Configuração correta dos serviços de correio eletrônico. Disponível em:

29 31 Por meio da chamada engenharia social, muitos spammers criam armadilhas para que os próprios usuários propaguem suas mensagens pela internet sem se darem conta do tipo de conteúdo que estão enviando. De acordo com a autora Renata Cicilini Teixeira 15, as técnicas mais conhecidas são: One-time s ( s enviados uma única vez) Essa prática consiste em informar o usuário que a mensagem será enviada somente uma vez, situação que não é verdadeira. Como essa notificação não valida a conduta de um spammer, o usuário continua recebendo o conteúdo não solicitado. Algumas pessoas apóiam essa prática, sob o argumento de que um único envio da mensagem não causará transtorno algum. Porém, como isso não acontece na prática, o envio de várias mensagens pode causa um colapso na caixa de entrada do internauta. Remova-me Outra técnica conhecida consiste naquelas notificações inseridas no rodapé das mensagens, tais como: Para sair desta lista, basta responder essa mensagem com a palavra Remove ou Caso não tenha interesse em continuar a recebe este tipo de mensagem, por favor, solicite sua retirada de nossa lista de distribuição, enviando para remove-me-from-list@.... Quando o usuário responde, esta confirmando a validade de seu endereço e, dessa forma, ele será vítima de mais spammers. Just hit delete Também conhecida pela frase Se este assunto não lhe interessar, apenas delete este , fazendo o usuário ignorar a mensagem, invés de denunciar o mesmo, sendo assim conivente com a prática de spam. 15 Combatendo o Spam - Teixeira, Renata Cicilini, 2004

30 32 Dentro da Lei Normalmente, os spammers utilizam a frase De acordo com a lei XXX, este não pode ser considerado spam..., porém a tal lei não existe, sendo mais um artifício para enganar o usuário. Essa mensagem é um spam Em alguns Estados americanos são permitidos o envio de spam, mas o spammer deve colocar no assunto da mensagem (subject) a sigla ADV (advertisement), com o intuito de sinalizar ao usuário que a mensagem trata-se de uma propaganda. Outra sigla utilizada é a MEPPS (Mensagem Eletrônica de Publicidade de Produtos e Serviços). No Brasil, a sigla NS de nãosolicitado chegou a ser aderida, com a intenção de avisar ao usuário que a mensagem era um spam. A ideia foi logo abandonada, pois notou-se que a prática incentivaria o spammer a enviar mais mensagens. Mensagens atraentes Utilizam chamadas atraentes, principalmente no assunto da mensagem, como Sua senha está inválida, Renovação de Cadastro, Cadastro de CPF, Você está sendo enganado e inúmeras outras. Assunto sem formatação Alguns spammers utilizam o artifício de usar textos no assunto da mensagem sem formatação ou com caracteres especiais para enganar os filtros de spam. Um bom exemplo é V!@g-r-a em Pr0m0câ Prejuízos diretos e indiretos O recebimento de mensagens não solicitadas provoca inúmeros prejuízos, como o consumo de banda de internet, o aumento da depreciação dos computadores devido a sobrecarga do sistema, além do tempo perdido para banir tais dispêndios. Em alguns casos, o acúmulo de

31 33 spam pode até interromper e deixar indisponível uma rede inteira, fato que compromete o desempenho da rede e dos sistemas, causando prejuízo aos provedores e, principalmente, aos usuários. O consumo de recursos computacionais ocasionados pelo spam acaba sobrecarregando ainda as conexões de internet, fazendo com que os provedores de acesso gastem cada vez mais em investimentos para aumentar a capacidade de seus servidores, somente para suprir o que é consumido pelos spammers. Problemas como esses afetam os usuários de serviços de correio eletrônico de diversas formas, tais como o não recebimento de mensagens válidas solicitadas, o acúmulo de spams na caixa postal (fato que pode impossibilitar o recebimento de mensagens válidas) e a perda de tempo para identificar e remover os spams da caixa de correio. Para se ter uma ideia, uma pesquisa realizada pela Antispameurope 16, empresa alemã especialista em soluções anti-spam, revelou que cada funcionário gasta em média 7 minutos por dia apagando esse tipo de mensagem. Isso representa um custo de 828,00 euros na produtividade, que representa cerca de R$ 2,3 milhões ao ano. No relatório divulgado este ano pela Symantec 17, empresa de segurança virtual, o Brasil consta como o terceiro maior país emissor de spam do mundo, perdendo apenas para os Estados Unidos e para a Índia. Segundo o documento, 92% dos s enviados são spams, comparados aos 89% de um ano atrás. Uma curiosidade revelada pelo relatório é que há cerca de um ano Barack Obama e Michael Jackson eram os principais chamarizes para spams. A Copa do Mundo também foi alvo dos spammers para chamar a atenção e, recentemente, o nome da empresa British Petroleum, responsável pelo grande vazamento de óleo no Golfo do México, um dos maiores da história dos EUA, foi o mais utilizado para espalhar spams pela internet. 16 Disponível em: 17 Home Page Symantec Disponível

32 34 FIGURA 7 RANKING PRELIMINAR DE ENVIO DE SPAM NO MUNDO Fonte: Outra grande empresa do mercado especializada em segurança virtual, a McAfee, demonstrou através de um levantamento 18 que os spams contribuem também para a poluição do planeta. Ou seja, ler e deletar os cercas de 62 trilhões de spams enviados ao ano consomem cerca de 33 terawatts/hs de energia sendo que, apenas para produzir essa energia, são liberados aproximadamente 20 milhões de toneladas de gases poluentes, a mesma quantidade emitida por 1,6 milhões de carros durante 365 dias em uma grande cidade. De acordo com os últimos relatórios divulgados pela Cert.br 19, felizmente a quantidade de denúncias reportadas sobre o abuso no envio de spam sofreu um grande aumento em 2009 e os resultados preliminares de 2010 mostram um novo recorde na quantidade de spam reportados. 18 McAfee Cert.br - Disponível em:

33 35 FIGURA 8 CRESCIMENTO DE SPAMS REPORTADOS AO CERT.br Fonte: CERT.br Dentre as medidas utilizadas para coibir a ação dos spammers, podemos destacar as chamadas blacklists, listagens que agrupam s, domínios ou endereços de IP denunciados como disseminadores de spam na internet. As blacklists são utilizadas por alguns provedores de e- mail como fonte de pesquisa sendo que, quando um , domínio ou IP consta nestas listas, o provedor recusa-se a receber as mensagens deste determinado endereço por não considerálo confiável. Para um , domínio ou IP ser listado em uma blacklist ele deve ser denunciado por meio de uma notificação. Para tal, é necessário identificar a origem do spam e apresentar provas do ocorrido. Como os spammers sempre encontram meios para esconder a origem do envio, o processo de denúncia fica comprometido e as provas para notificação se baseiam, normalmente, apenas nas informações contidas nos cabeçalhos das mensagens não-solicitadas

34 36 que são recebidas. No Brasil, as notificações podem ser enviadas para o mailabuse@cert.br, criado pela Cert.br e administrado pela NIC.br, órgão responsável por tratar os incidentes de segurança em computadores que envolvam redes conectados à internet brasileira. Em outros países, as blacklists mais conhecidas são a spamcop.net e spamhaus.org. Outra providência adotada pelas empresas é a Política Anti-SPAM, que são conjuntos de padrões e diretrizes que devem ser adotadas para combater o spam. Essa política deve ser informativa e educativa, sempre esclarecendo o que é um spam e as formas de não se tornar disseminador dessa prática por falta de informação, mantendo assim os melhores métodos para utilização segura da internet. O Comitê Gestor da Internet no Brasil (CGI.br), criado pela Portaria Interministerial n 147 em maio de 1995 e alterado pelo Decreto Presidencial em setembro de 2003, é responsável pela coordenação e integração de todas as iniciativas de serviços na internet no Brasil. Com a intenção de prover maior qualidade técnica na inovação e disseminação dos serviços oferecidos, o órgão criou a Comissão de Trabalho Anti-Spam (CT-Spam), cujo intuito é recomendar, disponibilizar e promover procedimentos tecnologia para o combate do spam. FIGURA 9 ORGÃO GESTOR DA INTERNET NO BRASIL Fonte:

35 37 Logo da campanha anti-spam promovida pelo Comitê Gestor da Internet no Brasil: FIGURA 10 ORGÃO GESTOR DA INTERNET NO BRASIL Fonte: Vale lembrar que a utilização do como meio de comunicação poderá ter sua credibilidade comprometida caso não sejam encontrados caminhos viáveis e eficazes para se combater o spam. Cada vez mais ofensivos e utilizados para pornografia, fraudes e golpes por meio de códigos maliciosos para obter informações de usuários desprevenidos, como foi exposto no conteúdo deste capítulo, ele tem sido utilizado basicamente para fins ilícitos.

36 38 4. FERRAMENTAS DE SEGURANÇA 4.1. Firewall Na computação um Firewall é um dispositivo de segurança que visa controlar o tráfego de dados de uma rede de computadores para a outra, evitando a propagação de dados não permitidos ou nocivos. Atualmente, os tipos existentes são: Firewall baseado em Software; e Firewall baseado em Hardware; e também baseado em ambos 20. É vantajoso o uso de firewall porque é possível instalar um único Firewall para uma rede inteira de computadores Breve História O conceito de Firewall (muro corta-fogo) surgiu no final da década de 80, quando os roteadores separavam redes pequenas e era possível implementar aplicativos e gerenciar os recursos da melhor forma, pois, se um aplicativo demonstrasse algum problema, as demais redes não seriam afetadas. O uso do Firewall como mecanismo de segurança para redes surgiu no começo dos anos 90, onde era usado um conjunto de regras mínimas para configurar permissões de acesso O que é um firewal? Firewall: Conceitos e tipos A história do Firewall -

37 39 FIGURA 11 PEQUENO CONJUNTO DE REGRAS PARA CRIAR RESTRIÇÕES Fonte: Própria Dentre as características e funcionalidades mais comuns dos Firewalls, podemos destacar: a) Bloqueio ao receber dados baseados no destino ou fonte: Essa é a função mais evidente, pois impede o recebimento de dados não permitidos ou nocivos. b) Bloquear os acessos as dados baseando-se no destino ou na fonte: Muitos dos Firewalls também podem restringir o acesso aos dados na internet como, por exemplo, impedindo que o usuário de uma rede acesse determinados sites.

38 40 c) Bloquear dados baseando-se em conteúdo: Firewalls mais avançados e integrados a um antivírus podem fazer uma análise de conteúdo antes do bloqueio de dados, prevenindo assim que vírus adentrem a rede através dos arquivos. Isso também pode ser feito com serviços de , criando um filtro de conteúdo aceitáveis. d) Permissão para conexões com uma rede interna: Uma maneira comum para o usuário de uma rede de computadores corporativos se conectar à rede é por meio dos VPNs - Virtual Private Networks ou Rede Privada Virtual -, que fornece acessos de maneira segura entre a internet e a rede interna. Alguns Firewalls possuem essa funcionalidade VPN para permitir ao usuário uma conexão mais fácil. e) Reporta o tráfego na rede e as atividades do Firewall: É importante saber o que acontece com seu Firewall: o que ele bloqueia, tentativas de invasões na rede, tentativa de acessos a material inapropriado. Diversos Firewalls listam tais atividades e reportam as ocorrências Tipos de Firewall O funcionamento de um Firewall ocorre de forma variável, pois depende da forma como o programa foi desenvolvido e de sua aplicação. Atualmente, existem dois tipos básicos conceituais para Firewall: baseado em filtragem e controle de aplicações ou em Proxy Filtros de Pacotes Esse é o tipo mais comum de Firewall, pois é usado frequentemente em redes de pequeno e médio porte e se restringe a trabalhar nas camadas TCP/IP. Através de um conjunto de regras baseadas em informações de endereço de IP remoto, endereço de IP do destinatário e em uma 23 Firewall: O que é isso e por que precisamos deles? Disponível em:

39 41 porta TCP, o firewall determina quais endereços de IP s e podem se comunicar e/ou transmitir/receber dados. Se bem configurado, esse Firewall permite somente a comunicação entre computadores reconhecidos, em uma conexão analisa informações e possui a capacidade de notar anomalias nesta conexão e de analisar o conteúdo dos pacotes Firewall de aplicação ou Proxy Usa-se para fornecer filtros de acesso à Internet, gerando uma segurança maior para os computadores de uma rede interna ao fazer com que eles passem por um único ponto. Nos computadores servidores, esse tipo de Firewall faz com que a conexão com a internet não aconteça de maneira direta. Através do Firewall de aplicação é possível acompanhar o tráfego entre a rede e a Internet (ou de rede para rede) 24. São exemplos de aplicação: HTTP, FTP, SMTP, etc Intrusion Detection System (IDS) Um IDS (Intrusion Detection System), que em português significa Sistema de Detecção de Intrusão, é um software ou um conjunto de softwares destinados a monitorar e detectar anomalias ou atividades maliciosas em uma rede de computadores 25. As ferramentas IDS trabalham com a mesma base, analisando os pacotes de dados que trafegam na rede de computadores e identificando precisamente qualquer tipo de ataque. Através de um IDS é possível saber se um usuário legítimo do sistema está fazendo mau uso do mesmo ou se um invasor está tentando entrar. Existem IDS baseados em host HIDS (Host Intrusion Detection System), nos quais o computador concede aos usuários a comunicação com outras máquinas que estejam ligadas na rede, inclusive as NIDS (Network Intrusion Detection System) Firewall: Conceitos e tipos Cartilha de segurança para Internet 3.1 Parte VII: Incidentes de segurança e uso abusivo da rede Unifesp - Setor de Tecnologia da Informação Glossário Disponível em:

40 Sistemas baseados em Rede (NIDS) Este sistema atua em toda a rede. Diferente do HIDS, que monitora individualmente cada máquina, em NIDS todo o tráfego da rede é monitorado, identificando ataques e ameaças Sistemas baseados em Host (HIDS) Esse sistema deve ser instalado em todos os computadores de uma rede. Como é baseado em host, o HIDS consegue detectar anomalias na CPU, tais como o uso indevido excessivo de memória 27. A maior parte dos programas de computadores que podem criar um honeypot, ferramenta de segurança destinada a atrair atacantes, dentre elas o KFSensor, ferramenta que foi utilizada no estudo de caso deste trabalho, também atua como um IDS do tipo HIDS, mas o principal diferencial é que um honeypot não possui falso- positivo (quando a atividade na rede é detectada como um ataque, mas não é). A existência e localização de um honeypot devem ser mantida em sigilo, então todo o tráfego destinado ao local do honeypot deve ser considerado um ataque O que é e como funciona uma ferramenta IDS? 28 Assunção, Marcos Flávio Araújo, Honeypots e Honeynets: aprenda a detectar e enganar os invasores, pag 24 Florianópolis: Visual Books, 2009.

41 43 5. HONEYPOTS 5.1. Definição Honeypot é um recurso de segurança criado com o intento de ser sondado, atacado ou comprometido. Embora não seja uma ferramenta de segurança, tampouco preventiva, o honeypot consiste em excelente mecanismo de pesquisa, pois é capaz de fornecer informações extremamente valiosas acerca do atacante. Através do honeypot é possível detectar e analisar ataques automatizados como worms que, conforme mencionado anteriormente, não necessitam infectar outros arquivos para se multiplicar e normalmente espalham-se usando recursos da rede. O é o seu principal canal de distribuição atualmente, possibilitando a troca de informações importantes sobre a comunidade blackhat (hackers que usam seu conhecimento para cometer crime), cuja expressão é alusiva aos filmes sobre o Velho Oeste Americano, nos quais os mocinhos usavam chapéus brancos e os bandidos chapéus pretos 29. Existem dois tipos de honeypots, sendo um deles voltado para pesquisa, cujo uso se destina ao aprendizado por meio dos ataques sofridos; e honeypot de produção, que é usado para reduzir riscos e proteger uma organização. Também existe uma classificação por nível de interatividade, no qual o honeypot varia entre baixa, média e alta. Essa categorização foi apresentada por Marty Roesch, criador da ferramenta para honeypots SNORT. 30 Now that we have defined a honeypot, we will break them down into two general categories: production honeypots and research honeypots. The concept of these categories comes from Marty Roesch, developer of Snort. (SPITZNER, Lance) 29 Entenda o que faz um hacker e a polêmica em torno desta palavra Disponível em : 30 SPITZNER, Lance. Honeypots Tracking Hackers USA: Addison Wesley, 2003, Chapter 3. History and Definition of Honeypots- Definitions of Honeypots.

42 A História dos Honeypots O estudo acerca do honeypot iniciou-se em meados de 1990, com a publicação do artigo The Cucko s Egg pelo pesquisador Clifford Stoll que, durante 10 meses (entre os anos de 1986 e 1987) estudou os interesses do atacante através de armadilhas, localizando e encurralando um hacker cujo nickname era Hunter. Em 1992, Bill Cheswick publica An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied, pesquisa na qual relata o resultado de meses de estudo acerca das técnicas utilizadas por outro hacker conhecido da época, o Berferd. Cheswick revelou como criou armadilhas para o hacker e fez a primeira análise de um ataque. Finalmente, em 1997, Fred Cohen lançou o Deception Toolkit (DTK) o primeiro honeypot por excelência. O próprio termo honeypot, aliás, surgiu quando Fred Cohen desenvolveu essa ferramenta, que possuía código aberto e gratuito e utilizava uma coleção de scripts (sequência de comandos e tarefas a serem executadas) em linguagem de programação Perl e C, que simulam vários servidores e emulam diversas vulnerabilidades conhecidas em sistemas com o objetivo de enganar os atacantes, confundi-los e também obter informações. Em 1998, surgiu a primeira ferramenta comercial, Sting da CyberCop, que foi desenvolvida por Alfred Huger para Windows NT. Além de ser possível emular uma rede inteira, essa ferramenta facilitou o processo de instalação, configuração e manutenção, tornando o programa mais acessível. No mesmo ano houve o lançamento de BackOfficer Friendly, um honeypot baseado em Windows e Unix desenvolvido por Marcus Ranum e lançado pela Network Flight Recorder. Ele era livre e extremamente fácil de usar, podendo rodar em qualquer sistema de desktop Windows. Em 1999, foi criado o Honeynet Project, um grupo de pesquisa sem fins lucrativos que dedica-se a pesquisas sobre a comunidade blackhat 31. As pesquisas eram documentadas e publicadas em uma série de artigos conhecidos com Know Your Enemy (Conhecendo o Inimigo) que, em 2001 foi editado em livro. De 2000 a 2001, diversos honeypots foram usados para capturar e estudar as atividades de worms, uma vez que várias organizações adotaram a ferramenta para detectar ataques e investigar novas ameaças. 31 SPITZNER, Lance. Honeypots Tracking Hackers USA: Addison Wesley, 2003, Chapter 3. History and Definition of Honeypots- Definitions of Honeypots.

43 45 Em 2002, um honeypot é usado para detectar e capturar um ataque até então novo e desconhecido que aconteceu em servidores Solaris da Sun Microsystems, que estavam vulneráveis à falhas no serviço DTSPCD (Subprocess Control Service) que tipo de daemon - um programa que espera por outro para responder - de rede que aceita requisições de clientes para iniciar aplicações remotamente 32 e está presente na interface gráfica para desktop chamada CDE (Common Desktop Environment) 33. Esse serviço manipula requisições remotas e executa tarefas pela Internet, situação em que um arquivo compartilhado de biblioteca usado pelo DTSPC provocava um buffer overflow (estouro de memória) do sistema quando são enviados pacotes de dados convenientemente construídos. Isso permite o acesso root (usuário do sistema que possui acesso total) à máquina comprometida Tipos de Honeypots Conforme já mencionado, os dois tipos de honeypots existentes são de produção e de para pesquisa. Marty Roesch, desenvolvedor do Snort, criou o conceito de honeypots de produção e pesquisa enquanto trabalhava no GTE Internetworking. The concept of these categories comes from Marty Roesch, developer of Snort. It evolved during his work and research at GTE Internetworking. Production honeypots protect an organization, while research honeypots are used to learn. (SPITZNER, Lance) Segundo Lance Spitzner, a distinção entre honeypots de produção e honeypots de pesquisa não é absoluta, pois trata-se apenas de uma orientação para contribuir com a identificação da finalidade dos honeypots. Dessa forma, a diferença está em sua finalidade, já que podem ser usados tanto para produção quanto para pesquisa. Algo importante a ser mencionar é que ninguém da organização deve saber da existência do honeypot, pois qualquer tentativa de interação com a ferramenta será tratada como ataque. 32 Network Daemons Info Guerra Arquivo Disponível em: 34 O usuário root.-

44 Honeypots de Produção Honeypots de produção tem como objetivo diminuir o risco em redes corporativas. Com ele é possível detectar ataques nas organizações, ajudando a proteger o ambiente e diminuindo os riscos 35. Seu funcionamento se presta a uma distração, um atrativo, a fim de desnortear o foco sobre elementos importantes em uma rede. Um honeypot de produção não fornece acesso real ao sistema, pois geralmente trabalham com um nível de baixa interatividade e os serviços são simulados, livrando o sistema real dos riscos. Dessa maneira, não haverá problemas caso o atacante descubra a armadilha. Por possuir funcionalidades e riscos menores, a implantação do honeypot de produção é geralmente mais fácil do que o de pesquisa, já que é mais difícil atacar e comprometer outros sistemas Honeypots de Pesquisa Honeypots de pesquisa tem como principal objetivo investigar as possíveis ameaças que uma organização pode enfrentar, como as ferramentas utilizadas pelo atacante, e traçar um perfil do invasor, conhecendo os seus interesses e o que está buscando no sistema. Usa-se esse tipo de honeypot para se obter informações por meio da compreensão das ameaças e de como elas operam e invadem o sistema. Ele possui maior comprometimento do que o honeypot de produção porque não é um sistema simulado, mas sim o sistema operacional real, exposto com a intenção de ser atacado para permitir o estudo detalhado dos ataques sofridos. Tudo o que for comprometido e acessado por um atacante é salvo, o que gera informações mais qualificadas. Ao contrário dos honeypots de produção, os de pesquisa têm complexidade maior, riscos mais elevados e precisam de maior esforço e tempo para ser administrado Níveis de Interatividade dos Honeypots 35 SPITZNER, Lance. Honeypots Tracking Hackers USA: Addison Wesley, 2003, Chapter 3. History and Definition of Honeypots- Definitions of Honeypots.

45 47 Os níveis de interatividade dos honeypots são classificados como baixa interatividade, média interatividade e alta interatividade, classificação que serve para comparar e medir os riscos. Quanto maior a interatividade de um honeypot, maiores são as informações obtidas e, consequentemente, maiores são os riscos Baixa Interatividade Honeypots de baixa interatividade são mais fáceis de instalar e configurar. Ao implementar esse honeypot, o risco e o comprometimento do sistema é extremamente baixo, pois são emulados, e a interação do atacante e as informações são limitadas. Honeypots de produção são mais indicados para trabalhar com os honeypots de baixa interatividade e são usados para auxiliar na proteção das organizações Média Interatividade Temos aqui um meio termo entre a baixa interatividade e a alta interatividade, feita com muito cuidado e atenção para iludir o invasor, fazendo-o pensar que tem o controle sobre o ambiente. Nessa categoria, sistemas e serviços continuam sendo emulados em um ambiente falso, criado de maneira minuciosa onde o atacante em nenhum momento terá contato com o sistema real. Com esse tipo de honeypot, obtemos maior quantidade de dados se o compararmos com o de baixa interatividade, mas com funcionalidades menores do que alta interatividade. No entanto, o risco é maior do que em um ambiente de baixa interatividade Alta Interatividade Trata-se de sistemas operacionais com serviços e aplicações reais, criados para serem comprometidos e usados pelo atacante. Com isso, o intruso pode ser monitorado a cada ação, o que rende um nível alto nível informações. A implantação e manutenção deste honeypot é

46 48 extremamente demorada e complicada, pois exige uma estrutura de segurança muito bem criada. Esse nível de interatividade é indicado para trabalhar como honeypots de pesquisa. Tabela comparativa: Nível de interação Trabalho para instalar e Trabalho para implantar e manter Informação obtida Nível do risco configurar Baixo Fácil Fácil Limitada Baixo Médio Mediano Mediano Variada Médio Alto Difícil Difícil Extensa Alto TABELA 1 COMPARAÇÃO ENTRE NÍVEIS DE INTERATIVIDADE Fonte: Honeypots Tracking Hackers USA: Addison Wesley, 2002, Chapter 5 Note que quanto maior o trabalho despendido, maior será também o risco. Em contrapartida, a quantidade de informações obtidas também é maior Honeynet Honeynets são honeypots de pesquisa em alta interatividade ou honeypots de pesquisa em baixa interatividade, ligados em rede. Tal rede projeta-se de maneira a ser comprometida e com mecanismos de controle para que possam ser coletados dados e informações, a fim de impedir, por meio de técnicas preventivas, a invasão de outras redes. Existem duas formas de implementar honeynets: a honeynet real e a honeynet virtual Honeynet Real Na composição desse tipo de honeynet os serviços (sistema operacional real, com aplicações e serviços reais para cada honeypot instalado nessa honeynet) e mecanismos para contenção e

47 49 coleta de dados (firewall), geração de alertas e coleta de informações (IDS), existem de forma física, ou seja, a rede de computadores criada com honeypots existe realmente. Os dispositivos nessa honeynet não se encontram ligados entre si. Dessa forma, por ser mais descentralizado, se o sistema for violado isso não representará riscos e a honeynet não ficará comprometida. FIGURA 12 HONEYNET REAL Fonte: Própria Honeynet Virtual Em uma honeynet virtual, apenas um computador emula diversos IPs e sistemas operacionais e, como consequência, ele é capaz de simular uma rede completa. Esse processo é criado através de máquinas virtuais, um programa de computador utilizado para simular outro sistema operacional (Linux, Windows e MAC OS) dentro do seu computador. Uma grande vantagem em montar um honeynet virtual é o baixo custo, já que um único servidor pode simular todos os honeypots dentro de uma honeynet.

48 50 FIGURA 13 HONEYNET VIRTUAL Fonte: Própria 5.6. Projeto SpamPots da Cert.br O Projeto Spampots foi coordenado pelo Comitê Gestor da Internet no Brasil CGI.br. A coordenação técnica do funcionamento e articulação dos honeypots ficou sob responsabilidade do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, a CERT.br, e é mantido pelo Núcleo de Informação e Coordenação do Ponto BR NIC.br. O objetivo do projeto é a obtenção de métricas sobre o abuso de redes internet para o envio de spam através de honeypots de baixa interatividade.

49 Funcionamento O projeto foi idealizado com a implantação de 10 honeypots de baixa interatividade emulando serviços de proxy/relay aberto capturando spam. Estes honeypots foram instalados em redes de banda larga ADSL e Cabo de 5 provedores de acesso à banda larga. Um servidor central coleta e armazena os dados, realizando verificações de status em todos os honeypots. A figura 12, abaixo, ilustra a arquitetura deste sistema: FIGURA 14 ARQUITETURA DO PROJETO SPAMPOT DO CERT.br Fonte: CERT.br

50 52 6. ESTUDO DE CASO 6.1. Ferramenta Utilizada Para o estudo de caso utilizamos uma ferramenta chamada KFSensor, que é um honeypot comercial desenvolvido para a plataforma Windows e funciona simulando sistemas de serviços do mais alto nível da Rede Modelo OSI (Open Systems Interconnection), ou seja, na camada de aplicação. Ele é capaz de bloquear ataques de recusa de serviço e estouro de buffer; além de registrar os logs do atacante, podendo realizar filtros de várias maneiras para facilitar a análise em de determinada porta ou protocolo. A ferramenta simula uma grande quantidade de serviço, mas nos concentramos apenas nos seguintes: POP3, IMAP e, especialmente, o SMTP, principal alvo dos spammers uma vez que é utilizado para o envio de s. O KFSensor é um honeypot comercial e é classificado como de baixa interação/produção. A figura 15 mostra abaixo a Interface do programa Kfsensor: FIGURA 15: INTERFACE GRÁFICA DO KFSENSOR Fonte: Própria

51 Estudo de Caso 1 Ambiente Local Estrutura de Rede Foi utilizada uma estrutura de rede local em uma Estação de Trabalho, na qual foi instalado o KFSensor para simular os seguintes serviços: SMTP, POP3 e IMAP protegidos por um firewall. Desta forma, a máquina na qual a ferramenta estava instalada é real e o ambiente simulado neste equipamento é virtual. A composição física da rede local utilizada no Estudo de Caso era: Roteador Switch: Equipamento que realiza a comunicação entre diferentes tipos de redes, permitindo a comunicação entre computadores distantes entre si. O Switch realiza a comutação de pacotes dentro de uma determinada rede, isto é, encaminha os pacotes para os computadores da rede. No nosso case, utilizamos um equipamento que integra roteador e switch com tecnologia wireless que permite a conexão através de rede sem fio e com acesso à Internet. Estação de Trabalho: Sinônimo de computador pessoal, no case utilizamos notebooks como estações de trabalho. A imagem 15 mostra um diagrama da constituição da rede do ponto de vista de Sistemas Operacionais utilizados nas Estações de Trabalho: FIGURA 15 DIAGRAMA DE REDE TIPOS DE SISTEMAS OPERACIONAIS Fonte: Própria

52 54 Já para composição virtual da rede testada no Estudo de Caso, o Ambiente Simulado na Estação de Trabalho, que na figura 16 destacamos pelo nome de Honeypots, foi composto por uma rede de servidores virtuais. O objetivo do ambiente virtual é emular serviços de envio e recebimento de s. FIGURA 16 COMPOSIÇÃO DE AMBIENTE VIRTUAL Fonte: Própria Resultados Obtidos Após a instalação e configuração, começamos a analisar os logs registrados no KFSensor e observamos que a ferramenta começou a funcionar perfeitamente às 19:39 horas do dia 13 de setembro de Partimos, então, para a realização de teste com o objetivo de descobrir as portas e protocolos simulados no ambiente virtual e tentar acessá-los remotamente.

53 55 A figura 17 (abaixo) mostra o escaneamento que realizamos através do comando nmap ss o v, e IP dos honeypots. FIGURA 17 PORTAS DE MÁQUINAS COM SERVIÇOS VIRTUAIS ESCANEADAS Fonte: Própria Às 20:25 horas observamos o primeiro acesso remoto externo à nossa rede real. Este acesso foi realizado 46 minutos após a configuração do ambiente de teste e, como não divulgamos a ninguém, chegamos à conclusão que o mesmo caracteriza uma invasão. O pouco tempo levado para que nosso ambiente fosse descoberto se deve ao fato de que usamos ferramentas conhecidas como Scanners, projetadas para identificar máquinas na Internet e obter informações sobre os tipos e versões dos serviços que estão sendo executados e também encontrar vulnerabilidades em um determinado tipo de serviço. Com estas ferramentas, os spammers vasculham a internet na busca de servidores desprotegidos. A figura 18 mostra o ataque sofrido, o tempo de duração e as portas acessadas pelo invasor.

54 56 FIGURA 18 ILUSTRAÇÃO DE ATAQUE Fonte: Própria A figura 19 (abaixo), mostra com mais detalhes as informações do atacante:

55 57 FIGURA 19 DETALHES DO ATACANTE Fonte: Própria Observamos que o visitante tentou enviar através do nosso serviço SMTP simulado e, como não obteve êxito, desistiu após 5 tentativas. Concluímos que o mesmo era um spammer ou um computador configurado para realizar esta tarefa.

56 58 Abaixo, observamos o log gerado pela ferramenta: <event sensorid="honeyspam" id="49" type="mail Send Error" desc="sendmail: Rejected id:5 to:enviar@dicarlos.com" action="notspecified" protocol="tcp" severity="high"> <start> :25:03:562</start> <end> :25:04:921</end> <client domain="dicarlos.com" ip=" " port="25" /> <host ip=" " bindip="" port="1360" /> <connection closedby="server" /> <recbytes>287</recbytes> <received size="287" coding="kf"><![cdata[220 legs.dreamhost.com ESMTP%0D%0A 250-legs.dreamhost.com%0D%0A 250-PIPELINING%0D%0A 250-SIZE %0D%0A 250-ETRN%0D%0A 250-AUTH PLAIN LOGIN%0D%0A 250-AUTH=PLAIN LOGIN%0D%0A 250-ENHANCEDSTATUSCODES%0D%0A 250 8BITMIME%0D%0A Ok%0D%0A <enviar@dicarlos.com>: Recipient address rejected: Access denied%0d%0a Bye%0D%0A ]]></received> <sentbytes>90</sentbytes> <sent size="90" coding="kf"><![cdata[ehlo dicarlos.com%0d%0a MAIL FROM:<receber@dicarlos.com>%0D%0A RCPT TO:<enviar@dicarlos.com>%0D%0A QUIT%0D%0A ]]></sent> </event> O arquivo de log gerado pelo honeypot é fundamental para a análise e estudo das táticas utilizadas pelo invasor. Analisando o código, é possível saber as portas e protocolos usados

57 59 pelo invasor, além de outras informações, tal como o seu IP, a data e a hora do acesso e a interação do invasor no honeypot. Rastreamos o invasor por meio do endereço IP utilizando o comando tracert no DOS e verificamos que se trata do host: apache2-hok.legs.dreamhost.com tendo o IP : FIGURA 20 RASTREANDO O IP DO VISITANTE Fonte: Própria

58 Estudo de Caso 2 Ambiente Empresa Nesta etapa do projeto, partimos para uma análise do comportamento de um invasor em um ambiente de rede empresarial. Com uma estrutura de rede muito maior e mais abrangente, podemos analisar a interação do intruso em um ambiente mais complexo Estrutura de Rede A estrutura de rede da empresa é constituída na plataforma cliente-servidor, no qual alguns servidores provêem serviços na rede, tais como: interno, acesso a banco de dados, arquivos, acesso à internet. O ambiente é composto por 74 equipamentos conectados em rede, sendo que destes 6 são servidores e o restantes estão divididos entre microcomputadores, notebooks, impressora etc. Neste equipamentos estão instalados diferentes tipos e versões de Sistemas Operacionais, sendo que nos servidores prevalecem os sistemas baseados em Linux e nas estações de trabalho prevalece as versões do Windows. A figura 21 mostra o panorama de sistemas operacionais da rede. FIGURA 21 DIAGRAMA DA REDE TIPOS DE SISTEMAS OPERACIONAIS Fonte: Própria

59 61 A composição da rede é dividida em uma DMZ (DeMilitarized Zone) e uma Rede Local de Trabalho. A DMZ, zona desmilitarizada, é uma rede que fica localizada entre uma rede confiável e uma não confiável. O objetivo desta rede é separar os serviços que possuem acesso externo da rede local para evitar que um acesso não autorizado interfira no perfeito funcionamento da rede como um todo. No estudo de caso em questão, o gerenciamento dos acessos nas duas partes da rede é realizado por dois firewalls, sendo que: Um cuida especificamente do acesso externo à DMZ e sua função é liberar e/ou bloquear acessos de fora da rede da empresa aos computadores da DMZ. O outro gerencia o acesso dos computadores da rede interna à DMZ e às outras redes externas. O objetivo é não permitir que um usuário interno mal intencionado permita o acesso a seu computador por um usuário externo através da instalação de um programa, por exemplo. FIGURA 22 ESTRUTURA DE REDE AMBIENTE EMPRESA Fonte: Própria Optamos por colocar o honeypot dentro da rede local de trabalho para monitorar o comportamento de um invasor se o mesmo conseguir acessar alguma máquina na rede interna da empresa.

60 Resultados Obtidos Analisamos que, de certa forma, os resultados foram parecidos com o estudo de caso 1. Após configurar a ferramenta, percebemos nos relatórios que o mesmo atacante do estudo de caso 1 descobriu os serviços e as vulnerabilidades emulados na máquina e, após acessar o honeypot, tentou enviar s utilizando a conta configurada. A figura 23 mostra os acessos realizados. FIGURA 23 ACESSO EXTERNO REALIZADO: TENTATIVA DE ENVIO DE Fonte: Própria As figuras 24, 25 e 26 detalham melhor as tentativas de envio de , as portas e protocolos utilizados, o IP do invasor e o tempo de cada acesso, etc.

61 63 FIGURA 24 VISÃO DO PANORAMA GERAL DA INVASÃO Fonte: Própria

62 64 FIGURA 25 IP E PORTA UTILIZADA PELO INVASOR E EMULADA NO HONEYPOT Fonte: Própria

63 65 FIGURA 26 DETALHANDO TENTATIVA DE ENVIO DO Fonte: Própria Novamente rastreamos o invasor a partir do número do IP: e, mais uma vez, nos deparamos com o host apache2-hok.legs.dreamhost.com.br conforme figura 27.

64 66 FIGURA 27 RASTREANDO O INVASOR ATRAVÉS DO ENDEREÇO IP Fonte: Própria Logs gerados pela ferramenta: <event sensorid="kfsensor" id="10752" type="mail Send Error" desc="sendmail: Rejected id:1 to:administrador@dicarlos.com" action="notspecified" protocol="tcp" severity="high"> <start> :07:23:544</start> <end> :07:25:363</end> <client domain="dicarlos.com" ip=" " port="25" /> <host ip=" " bindip="" port="52848" /> <connection closedby="server" /> <recbytes>294</recbytes> <received size="294" coding="kf"><![cdata[220 legs.dreamhost.com ESMTP%0D%0A 250-legs.dreamhost.com%0D%0A 250-PIPELINING%0D%0A 250-SIZE %0D%0A 250-ETRN%0D%0A 250-AUTH PLAIN LOGIN%0D%0A 250-AUTH=PLAIN LOGIN%0D%0A 250-ENHANCEDSTATUSCODES%0D%0A

65 BITMIME%0D%0A Ok%0D%0A Recipient address rejected: Access denied%0d%0a Bye%0D%0A ]]></received> <sentbytes>103</sentbytes> <sent size="103" coding="kf"><![cdata[ehlo dicarlos.com%0d%0a MAIL RCPT QUIT%0D%0A ]]></sent> </event> Recomendações dadas à empresa. Como mostrado no case acima, se um spammer conseguir acesso à um determinado computador dentro de uma ambiente de empresa com servidores de , ele poderá fazer uso dos serviços para enviar spam. As seguintes recomendações foram dadas à empresa: Aprimorar a política interna de informática, principalmente não permitindo que um usuário instale um programa ou serviço que permita o acesso remoto através da internet sem o conhecimento e supervisão do administrador da rede; Monitorar as portas acessadas pelo invasor no honeypot; Administrar o tamanho de contas de s dos usuários; Reportar o spammer aos órgãos nacionais e internacionais; Bloquear o acesso à porta 25 de todos os hosts da rede que não sejam aqueles que estejam autorizados a executar funções de retransmissão de SMTP; Desativar computadores ou contas de correio eletrônico individuais que foram comprometidos e que estão sendo usadas para enviar spam.

66 68 Prestar serviços de envio de na porta 587, como descrito no RFC Exigir autenticação SMTP para envio de , conforme descrito na RFC Estudo de Caso 3 Ambiente Local com Estrutura Virtual Para esse estudo de caso, criamos uma máquina virtual utilizando a ferramenta Virtual Box, desenvolvida atualmente pela empresa Oracle. Emulamos o sistema operacional Windows XP Service Pack 2, instalamos o KFSensor dentro desse ambiente virtual e simulamos os seguintes serviços: SMTP, POP3 e IMAP sem a proteção de um firewall. Temos nesse estudo de caso um honeypot virtual de baixa interatividade. FIGURA 28 INTERFACE GRÁFICA DO PROGRAMA VIRTUAL BOX Fonte: Própria

67 Estrutura de Rede A composição física da rede utilizada nesta etapa é a mesma do estudo de caso 1. Composição virtual: utilizamos 3 estações de trabalho e um notebook como servidor de máquina virtual. Na figura 29 temos a ilustração do ambiente criado para este estudo de caso, onde o ambiente virtual também é o ambiente no qual foi instalada a ferramenta de honeypot. Assim como no estudo de caso 1, este ambiente tem como objetivo emular serviços de envio e recebimento de . FIGURA 29 AMBIENTE CRIADO PARA ESTUDO DE CASO 3 Fonte: Própria

68 Resultados Obtidos Criamos um domínio e um endereço de falso pelo KFSensor e, após configuração, esse ambiente foi colocado em rede. A figura 30 ilustra a hora e data do momento da tentativa de invasão pela porta 25. FIGURA 30 PRIMEIRO ATAQUE NA PORTA 25 SMTP Fonte: Própria Na figura 31 exibimos com mais detalhes o ataque, no qual o invasor tenta enviar um através de um serviço de emulado. A porta 25 foi por onde esse atacante tentou invadir. A figura exibe ainda detalhes de uma conexão mal sucedida, início e fim do ataque e a descrição do mesmo.

69 71 FIGURA 31 DETALHES DA INVASÃO NO AMBIENTE VIRTUAL Fonte: Própria Note que neste estudo de caso o IP do atacante não aparece. De acordo com as experiências nas duas análises anteriores, é possível concluir que o atacante pode ter ocultado seu IP e que também neste tipo de ambiente, honeypot virtual, as informações são mais escassas, conforme descrito no trecho do trabalho em que é mostrada as definições de honeypots de baixa interatividade. Este estudo de caso tinha o objetivo de mostrar a quantidade de informações que podem ser obtidas ao emular um sistema operacional e usá-lo como honeypot. Foi possível ver que as informações são limitadas e pouco ajudam para a tomada de decisões, mas trata-se de um recurso de segurança muito seguro, pois o atacante em momento algum teve contato com o sistema real.