Estudo da ferramenta de Prevenção de Intrusão HLBR. Fauston Samuel Padilha, Maristela Cheron. Curso de Especialização em Redes e Segurança de Sistemas

Transcrição

1 MARISTELA CHERON A participação dos estudantes na elaboração deste artigo ocorreu de forma homogênea. Para a elaboração deste artigo procuramos inicialmente dar uma visão geral do que é um sistema de prevenção de intrusos, bem como suas configurações para implantação da ferramenta, recursos utilizados para administrar, vantagens e desvantagens, seu funcionamento entre outros que esclarecem o tema, a fim de esclarecer o assunto para as pessoas que não conheciam o conceito desta solução de segurança e para que possam estar utilizando. O objetivo deste estudo é demonstrar para as pessoas que possuem pouco conhecimento sobre a ferramenta HLBR, o quanto é importante a utilização desta nos dias atuais.

2 Estudo da ferramenta de Prevenção de Intrusão HLBR Fauston Samuel Padilha, Maristela Cheron Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Março de 2010 Resumo Este trabalho tem como objetivo o estudo teórico da ferramenta nacional de Prevenção de Intrusão HLBR (Hogwash Light Brasil), primeiramente dando um enfoque ao termo IPS (Intrusion Prevention System), descrevendo características e aplicabilidade e em seguida apresentando o HLBR, descrevendo a sua conceituação, características, vantagens e desvantagens (caso mal configurado), analisando a sua forma de funcionamento e interação na rede. 1 Introdução O termo IPS (Intrusion Prevention System) vem sendo constantemente utilizado na literatura especializada e nos produtos como uma evolução do IDS (Intrusion Detection System), agregando a função de prevenção de ataques à mera detecção da intrusão. Como complemento do IDS, o IPS tem a capacidade de identificar uma intrusão, fazer a análise da relevância do evento e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos. Desta forma, um IPS poderia agir localmente sobre uma tentativa de intrusão impedindo que ela atinja seus objetivos e minimizando os possíveis danos. O IPS (sistemas de prevenção de intrusão são generalistas) possui os mesmos mecanismos de detecção de um IDS (sistemas de

3 detecção de intrusão são minuciosos), porém pode interromper em tempo real e automaticamente uma atividade maliciosa com ou sem a ajuda de outros dispositivos. [4]. O IPS é uma ferramenta interessante na maneira de trabalhar, pois reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de disponibilidade que uma rede deve ter. IPS tem como finalidade reforçar a segurança de uma rede ou segmento no qual será implementado. Mas para isso é necessário fazer uma ótima escolha do tipo de IPS a se utilizar, levando-se em consideração o tipo de tráfego de rede ao qual o mesmo será destinado a proteger. [4] Assim como o IDS o IPS também é dividido em tipos ou classes, uma delas é o HIPS (Host Intrusion Prevention System) é uma maneira mais fácil de proteção de hosts contra softwares maliciosos, o HIPS faz sua análise baseada em hosts, porém por se tratar de um IPS, é capaz de tomar decisões em cima de suas próprias análises. O HIPS é um sistema que tem acesso direto às aplicações do Sistema Operacional e do próprio Kernel, assim o mesmo torna suas inspeções e tomadas de decisões mais fáceis ou também pode ser feito com que o mesmo monitore mais de perto uma aplicação específica, exemplo editor de 30 textos, protegendo-o contra um possível ataque. E ainda pode ser feito com que o HIPS monitore as partes principais do sistema, ou seja, o mesmo faz a análise de todo o fluxo de dados e procura por ataques em potencial. Além disto, o HIPS não tem problemas com conteúdo criptografado já que a criptografia e descriptografia ocorrem no host que o mesmo monitora, ou seja, ele já tem acesso às informações descriptografadas. [3] Outra classe é o NIPS (Network Intrusion Prevention System), uma tecnologia que utiliza um software instalado em um dispositivo inline em uma rede de computadores. Um exemplo de dispositivos inline: os roteadores e switches que são responsáveis por repassar pacotes IP s entre redes. O seu principal objetivo é verificar os pacotes que transitam pelo mesmo dentro do segmento de rede por ele monitorado. O mesmo inspeciona cada pacote que passa através dele e verifica por qualquer indicação de exploração de vulnerabilidade. Quando identificado um ataque, ele toma as devidas decisões baseadas em suas regras existentes, sendo assim o mesmo pode bloquear o tráfego suspeito. [3]

4 Faz-se necessário tomar alguns cuidados quanto à implantação de um IPS, pois assim como os IDS os IPS também podem ter problemas no caso de sua implantação em uma rede de alta velocidade, o IPS no caso por trabalhar inline na rede caso não consiga fazer o gerenciamento dos dados que trafegam na mesma pode causar um gargalo na rede e como conseqüência perca no quesito velocidade da rede. Todo software tem vulnerabilidades, algumas já descobertas e outras não. O HLBR é uma ferramenta que nasceu com o objetivo de auxiliar na tarefa de gerar contramedidas à ataques maliciosos que visam a invasão ou a interceptação de informações através das vulnerabilidades encontradas em serviços disponibilizados pelos servidores. O HLBR, software brasileiro, é um IPS, cujo comportamento é baseado por regras, as quais ele utiliza para analisar o tráfego na rede no qual está conectado e assim, tomar as devidas atitudes de acordo com o que foi configurado pelo administrador de segurança. Por ser invisível na rede se torna muito atraente merecendo pesquisas e testes que são apresentados nesse trabalho. 2 Tipos de Detecções de um IPS As detecções podem ser feitas de três diferentes maneiras que valem tanto para os IDS como para os IPS. Sendo elas: baseadas em anomalias, baseadas em assinaturas e as híbridas. Sistemas de Detecção de Intrusão baseado em anomalias, refere-se a um sistema cuja finalidade é fazer a detecção de algum comportamento anormal ao da rede, hosts, ou seja, o sistema tem como premissa, a de que cada usuário tem um perfil de recursos e utilizações de serviços na rede ou host, sendo assim qualquer desvio fora do padrão será analisado como anomalia. O sistema realiza uma espécie de auditoria das informações que são coletadas dos tráfegos de rede e logs do sistema, e com base nos mesmos faz suas análises e detecções. [4] Sistemas de Detecção de Intrusão baseado em assinaturas é uma tecnologia muito utilizada atualmente por gerar menos falsos positivos do que a baseada em anomalias. E a mesma, consiste na procura de ataques padrões e previamente conhecidos, ou seja, os ataques contêm características precisas e facilmente codificadas por um sistema especialista. Em muitos softwares existem falhas, e são estas falhas que são visadas pelos atacantes que por sua vez desenvolvem diferentes tipos de invasões, exemplos: scripts e vírus. Assim quando é feito a criação desses vírus, os mesmos

5 contêm características próprias que também são conhecidas como assinaturas, e é após tomar conhecimento da existência destas assinaturas é que são baseadas e criadas estas detecções. É feito a análise do tráfego e quando detectado uma assinatura correspondente ao do tráfego analisado, gera-se uma alerta ou é registrado o evento em forma de log. [4] A detecção de intrusão Híbrida é um conjunto ou união dos dois métodos (Anomalias e Assinaturas). E tem como objetivo principal acabar ou pelo menos diminuir as deficiências existentes em cada uma delas, ou seja, assim pode-se fazer a detecção de assinaturas já conhecidas e ainda poder obter outros tipos de ataques com assinaturas ainda não conhecidas, obtendo assim um maior sucesso e são gerados menos falsos positivos. [4] 3 Conhecendo o HLBR O HLBR (Hogwash Light Brasil) teve como base o IPS Hogwash desenvolvido por Jason Larsen em 1996 como trabalho de conclusão de curso. Este projeto é uma iniciativa nacional de desenvolvimento de uma ferramenta de segurança em redes de computadores. Teve início em novembro de 2005 e é mantido pelos líderes de projeto André Bertelli Araújo e João Eriberto Mota. Ele é capaz de capturar dados diretamente na camada de enlace segundo o modelo OSI (Open System Interconnect) da ISO (lnternational Organization for Standardization), e funciona como uma bridge, sendo capaz de interceptar pacotes maliciosos com base nas regras nele configuradas. [5] Atualmente o HLBR está na versão 1.7, lançada em 08 de dezembro de [6] O HLBR é invisível na rede, tanto para as máquinas que compõem a rede externa, como para as que compõem a rede interna, sendo assim, ele fica praticamente impossível de ser detectado pelo atacante. Essa invisibilidade se da pelo fato de que o mesmo não utiliza a pilha TCP/IP do Sistema Operacional, sendo assim não faz nenhuma alteração no cabeçalho 34 dos pacotes. O HLBR funciona como uma ponte pelo fato de suas placas utilizarem endereços IP s não roteáveis ou ainda não utilizarem endereços IP s. O trabalho de capturar, desmontar, analisar e remontar o pacote é feito pelo próprio HLBR. O mesmo é capaz de analisar um pacote em todas as camadas do Modelo OSI e TCP. [1]

6 Pode-se posicionar o HLBR de diferentes maneiras, de acordo com o cenário de cada rede. Porém a mais comum é colocá-lo entre o roteador e o firewall, para proteger a rede interna contra ataques externos, como mostra a Figura 1. [2] Figura 1: Posicionamento do HLBR para proteger a rede contra ataques externos. [2] Ou ainda, pode-se utilizar também o posicionamento para a proteção tanto internamente quanto externamente da rede, como pode ser observado na Figura 2. Figura 2: Proteção da rede contra ataques internos e externos. [2] Agora falando mais sobre o projeto HLBR, suas principais características são: Deve ser posicionado nas extremidades do sistema de Firewall, irá depender se você irá querer segurar a rede interna ou a rede externa.

7 Não realiza modificações no cabeçalho dos pacotes, até porque ele fica localizado na camada 2 do modelo OSI, apesar de poder realizar operações de filtragem na camada 7. Não utiliza um endereço IP para realizar suas operações. 3.1 Principais Vantagens do HLBR [5] É um sistema de prevenção de intrusão. Não utiliza a pilha TCP/IP do modelo OSI. Atua na camada de enlace do modelo OSI. Não tem necessidade de ter um endereço IP na máquina. Utiliza-se de regras simples para a detecção. Há possibilidade de confecção de novas regras com facilidade. Pode atuar como bridge 1. Podem ser utilizadas expressões regulares nas suas regras. 3.2 Principais Desvantagens do HLBR [5] Não é um sistema distribuído. Atualização de regras é estática, logo após a iniciação da ferramenta, não permitindo alterações com a ferramenta rodando. 3.3 Arquitetura HLBR A figura 3 apresenta a arquitetura geral da ferramenta HLBR. Observa-se que o sistema possui um Iniciador. Este componente é responsável em verificar à correta sintaxe das Regras e Configurações, com isto iniciando o Motor de Prevenção e o Sistema de Processamento de Pacotes. Logo após toda verificação de regras e configurações, e que o Sistema de Processamento de Pacotes foi iniciado, pacotes já podem ser processados. [5] 1 Bridge: conexão de equipamentos via camada de enlace do modelo OSI (WIKIPÉDIA, 2010).

8 Quando os pacotes são processados pelo Sistema de Processamento de Pacotes, este aciona o Motor de Prevenção para que faça uma análise mais rigorosa e decida se o pacote é malicioso ou não. Para facilitar a compreensão desta arquitetura, deve-se contrastar esta arquitetura com a que é apresentada na figura 3, a qual apresenta uma arquitetura padrão de um IPS. [5] Iniciador Regras Decodificadores Testes Motor de Prevenção Ações Sistema de Processamento de Pacotes Configurações Figura 3: Arquitetura Geral do HLBR. [5] O componente Iniciador é responsável pelas primeiras análises necessárias para deixar o sistema rodando. É este componente que realiza a checagem de cada regra e de cada configuração. Tem por responsabilidade validar a entrada do usuário, seja pela linha de comando ou por arquivo texto. Ele inicia também funcionalidades de relógio e alarme que estão incorporadas no sistema. [5] Os passos da iniciação são os que seguem: I. Verificação de argumentos de linha de comando; II. Iniciação dos decodificadores; III. Iniciação do testes; IV. Iniciação das ações;

9 V. Iniciação de controle de sessão; VI. Iniciação do encaminhamento; VII. Análise do arquivo de configuração; VIII. Análise do arquivo de regras; I. Finaliza testes finais;. Inicia as interfaces de rede e; I. Repassa o comando para o Sistema de Processamento de Pacotes. Segundo Vetter (2008) o sistema de Processamento de Pacotes é responsável por fazer uma interface padrão com componentes de hardware, como por exemplo, interfaces de rede do sistema operacional Linux, além de construir os pacotes para os componentes do Motor de Prevenção e de entregar para a rede os pacotes logo estes serem processados. O funcionamento deste sistema é de maneira circular, onde os pacotes são enfileirados um após o outro para serem processados. Ele pode rodar de duas maneiras diferentes, ou de maneira seqüencial, ou de maneira paralela. A forma como este componente executará é definida no componente de configuração. [5] Na maneira seqüencial, primeiramente o componente verifica se as interfaces configuradas são habilitadas para polling 2. Logo após, inicia-se um processamento circular onde é verificada a sincronia das interfaces de rede, é feito à leitura da interface mais atual e é processado o pacote. Da forma paralela, é instanciada para cada interface de rede uma thread 3, a qual é responsável por processar os pacotes de interface. Nota-se que a configuração das interfaces de redes utilizadas por este componente são definidas no componente de Configuração. [5] O componente de Regras define as regras que serão analisadas na execução do sistema, as quais são previamente definidas em um arquivo de regras. Estas regras devem estar associadas a um decodificador, associando uma mensagem que poderá estar relacionado com uma ação. O módulo de Configurações é responsável por definir parâmetros do sistema, tais quais se podem citar parâmetros gerais, interfaces de hardware, listas de IP. Este 2 Polling: Realizar amostragem ativa de status de um componente externo por um programa. (WIKIPÉDIA, 2008, tradução nossa). 3 Thread: É uma forma de um processo dividir a si mesmo em duas ou mais tarefas que podem ser executadas simultaneamente (WIKIPÉDIA, 2010).

10 módulo define as ações que serão utilizadas pelas regras e a maneira de roteamento que será utilizado. O arquivo padrão de configuração se encontra em /etc/hlbr/hlbr.config. [5] As interfaces de rede são definidas na seção Interfaces. Nesta seção são declaradas informações relativas às formas de alimentação de dados no sistema. As engrenagens principais da ferramenta HLBR se encontram no Motor de Prevenção. Este módulo faz com que as decisões sejam tomadas baseadas nos testes previamente feitos. Os decodificadores são peças chaves para o HLBR, são subcomponentes do Motor de Prevenção, os quais são responsáveis por realizar a identificação dos cabeçalhos que estão presentes nos pacotes lidos pela rede. Os testes são peças importantes na constituição da ferramenta, pois são eles que possuem a inteligência para indicar que um pacote ou fluxo de dados, possui ou não conteúdo malicioso. São eles que fazem a validação e realização da detecção. As ações, nada mais são, que as possíveis respostas que a ferramenta pode ter em situações em que os testes são todos positivos de uma determinada regra. Estas ações são definidas para cada regra e para cada uma é apenas uma. 3.4 Configurações mínimas para Instalação O HLBR pode funcionar em máquinas até mesmo consideradas antigas, pois ele não exige muito de sua configuração, os requisitos mínimos para colocar o HLBR para funcionar são: [2] Processador 200MHz ou superior; 64MB de memória RAM; 2GB de HD, porém é recomendado no mínimo 4GB por motivos de possíveis problemas devido ao armazenamento de logs; 2 Placas de rede (para que seja possível fazer a ponte entre as mesmas), porém pode-se fazer mais de uma ponte, sendo que para cada ponte necessita-se de 2 placas de rede; Quanto ao uso do S.O, podem-se utilizar diferentes distribuições de acordo com a qual considerar melhor ou estiver mais acostumado. Mas vale lembrar que a equipe

11 mantedora do HLBR recomenda a utilização do Debian, pois é a distribuição que o mesmo é homologado. [2] Após feito a instalação do S.O, quando se instala o básico do Linux, necessita-se da instalação de pacotes adicionais para fazer a compilação de programas: [2] # apt-get install build-essential, (distribuições baseadas no Debian) Faz-se necessário a instalação de uma biblioteca adicional, que é a biblioteca libpcre, necessária para utilização das expressões regulares (uma expressão regular é um método formal de se especificar um padrão de texto) a partir da versão HLBR-1.5. Que pode ser instalada através do comando: # apt-get install libpcre3-dev libpcre3. Restam ainda, as últimas configurações para deixar tudo da forma correta e pronto para que seja feito a instalação do HLBR. Existem duas formas de se fazer isto: Desabilitar o suporte ao IP ou ainda usar IP s de loopback. [2] Desabilitar suporte ao IP do Kernel: Uma das soluções seria obter o código fonte do Kernel do Linux e recompilar sem o suporte ao IP. Desta maneira as placas seriam controladas pelo próprio daemon do HLBR. Porém desta forma não é possível utilizar ferramentas de Sniffers, exemplo TCPDump11. Utilizar endereços de loopback: Esta é uma maneira bem mais fácil de fazer e que não diminui em nada a segurança do sistema, pois são utilizados endereços não roteáveis. Os endereços de loopback iniciam em e vão até Vale lembrar que não se deve utilizar o endereço , pois ele já é utilizado como loopback pelo S.O. O HLBR já vem com muitas regras prontas. Todas elas ficam dentro do diretório /etc/hlbr/rules divididas em vários arquivos. Geralmente, estes arquivos armazenam regras por assunto. Pode-se encontrar mais sobre o assunto no arquivo README dentro do diretório de instalação do programa. [2] E é o arquivo hlbr.rules que é editado para adicionar novos arquivos de regras. Mas vale lembrar que sempre ao adicionar novos arquivos, faz-se necessário reiniciar o HLBR para que as novas regras dos arquivos venham a funcionar. 3.5 Funcionamento do HLBR [5]

12 O motor de prevenção começa a funcionar quando os dados entram em uma interface de rede configurada para operar com o HLBR. Logo que estes dados entram, eles são classificados e empacotados em pacotes de rede. Depois que eles são empacotados, eles passam a ser analisados pela Árvore de Decodificação em conjunto com a checagem dos testes. O pacote passa pela árvore e são acionados testes, sendo que no final do processo é criado um cabeçalho para marcar o pacote para futuras análises. Logo que o HLBR termina a análise do pacote pela árvore de decodificação e pelos testes, a ferramenta realiza o casamento do cabeçalho criado anteriormente como cada regra, tentando achar regras que sejam completamente satisfeitas para que as suas ações possam ser acionadas. Caso uma das regras case com as informações contidas no cabeçalho, a regra é selecionada e as ações definidas pela regra são acionadas no banco de ações. Logo depois da decisão de acionar ou não as ações de uma ou mais regras, o pacote é analisado e regras de roteamento serão efetuadas em cima dele. Neste momento, duas coisas podem acontecer, ou o pacote pode ser descartado conforme decisão tomada anteriormente, ou o pacote é desmontado e os dados saem pela interface de rede. A figura 4 apresenta um fluxograma de funcionamento do HLBR. Figura 4: Fluxograma de Funcionamento Geral do HLBR. [5]

13 3.6 Alguns Comandos Importantes do HLBR Abaixo são mostrados alguns comandos, tais como: na linha 1 é especificado o comando de inicialização do servidor HLBR. Na linha 2 é mostrado o comando para verificar se o HLBR está funcionando. A linha 3 mostra o comando para que se possa parar a execução do HLBR. [4] 1. # /etc/initd.d/hlbr start 2. # ps aux grep hlbr 3. # /etc/initd.d/hlbr stop ou # killall hlbr Para testar o funcionamento do HLBR, basta disparar um ping entre as máquinas que se interligam por meio do HLBR ou podem ser feitos testes reais e visualização também em tempo real. Na linha 4 é mostrado o comando que deve ser executado no servidor HLBR para a visualização dos logs em tempo real. A linha 5 mostra um disparo da máquina atacante contra um servidor proxy, executado por meio de um navegador web. Na linha 6 pode-se observar a mensagem de log que aparece no servidor HLBR após o disparo de um ataque contra o servidor proxy. [4] 4. # tail -f /var/log/hlbr/hlbr.log /08/ :22: :42028-> :80 (codered-nimda-2-re) (root cmd explorer) request. 3.7 Comparando o HLBR com outras ferramentas A tabela 1 apresenta uma comparação entre as ferramentas de prevenção de intrusão (IPS) mais conhecidas: Funcionalidade Roda em Plataforma Microsoft Windows Snort Prelude HLBR Roda em Plataforma Linux Rastreia vulnerabilidades na rede Gera relatórios Gera logs

14 Boa Interface com Usuário Boa documentação Código-Fonte Disponível Boa metodologia de testes/regras Acompanha testes/assinaturas de segurança VoIP Sistema de Detecção de Intrusão Analisa em tempo real os pacotes que trafegam na rede Disparo de alarmes Possui arquitetura distribuída Habilidade para correlacionar dados Sistema de Prevenção de Intrusão Roda transparente na rede Tabela 1: Tabela Comparativa das Ferramentas [5] Segundo Vetter (2008) na tabela 1 destacam-se os principais pontos que uma ferramenta de sistemas de prevenção de intrusão deve se ater, sendo que a análise de pacotes em tempo real é de fundamental importância, porque estes sistemas devem saber tomar decisões muito rapidamente para que o desempenho da rede não seja comprometido. Enfocando o desenvolvimento em uma ferramenta de Sistemas de Prevenção de Intrusão, verifica-se que a melhor opção entre as ferramentas apresentadas, é a utilização do HLBR. Isto se dá ao fato desta ser uma ferramenta já estruturada para realizar a prevenção de forma nativa. [5] 4 Conclusão A informação é um dos bens mais valiosos para muitos, sejam elas empresariais ou pessoais. Foi com esta ampla visão que surgiu a idéia de implementação de um IPS

15 conhecido como HLBR, que tem como funcionalidade exercer uma maior proteção da rede em que o mesmo for implementado. Quanto à invisibilidade do HLBR, até que ponto pode ser considerada boa ou ruim? No caso, pode ser considerada boa pelo fato de fazer o bloqueio de um ataque e o atacante saber que não obteve sucesso no ataque, porém não tem como saber o porquê da não obtenção do mesmo, pois o HLBR irá simplesmente fazer a rejeição do pacote sem mandar nenhuma mensagem de retorno. A parte a ser considerada ruim seria a de que pelo fato do HLBR não utilizar endereços IP s ou ainda utilizar endereços IP s não roteáveis (loopback) o mesmo não pode ser acessado remotamente, ou seja, sempre que o administrador necessitar fazer atualização das regras ou visualizar arquivos de log, os mesmos terão que ser feitos localmente no servidor. Todo software, por melhor que seja, tem falhas. Garantir a segurança de servidores passa pela inativação de suas vulnerabilidades. O HLBR é um grande aliado nessa tarefa, pois pode impedir que ataques conhecidos sejam desferidos contra máquinas da rede, evitando assim maiores conseqüências. Conclui-se então, que o HLBR é uma ferramenta de suma importância para auxilio a segurança de redes de computadores e de eficácia garantida desde que implementado de forma correta. Bibliografia [1] FERREIRA, R. Hogwash Light BR, o IPS invisível Disponível em: < /images/uploads/pdf_aberto/lm35_hlbr.pdf+lm35_hlbr&hl=pt&ct=clnk&cd=1& gl=br &client=pub >. Acessado em: 28/12/2009. [2] MARQUES, R. Hogwash Light Brasil, um sistema de Prevenção de Intrusão invisível para o Aumento da Segurança das redes de Computadores Disponível em: Acessado em: 18/02/2010. [3] CALETTI, M. IPS (Intrusion Prevention System) Um estudo teórico e experimental. Novo Hamburgo: Feevale, Monografia (Bacharelado em Ciência

16 da Computação), Instituto de Ciências Exatas e Tecnológicas, Centro Universitário Feevale, p. [4] OLIVEIRA, D. Hogwash Light Brasil um Sistema de Prevenção de Intrusão Invisível para o Aumento da Segurança de Redes de Computadores. Goiás: FIM, Monografia (Bacharelado em Sistemas de Informação), Instituto de Ciências Administrativas e Tecnológicas, Faculdade Integradas de Mineiros. [5] VETTER, Murilo. Uma abordagem de Sistemas de Prevenção de Intrusão para Sistemas de Telefonia IP. Florianópolis: UFSC, Monografia (Bacharelado em Ciências da Computação), Departamento de Informática e Estatística, Universidade Federal de Santa Catarina. [6] CARLOS, Bruno. Nova versão do HLBR Disponível em: Acessado em: 02/03/2010.