Metodologias para Identificação de PC Zombies

Tamanho: px
Começar a partir da página:

Download "Metodologias para Identificação de PC Zombies"

Transcrição

1 Universidade de Aveiro Departamento de Electrónica, Telecomunicações e 2008 informática Ulisses Miguel Rodrigues França Metodologias para Identificação de PC Zombies

2 Universidade de Aveiro Departamento de Electrónica, Telecomunicações e 2008 informática Ulisses Miguel Rodrigues França Metodologias para Identificação de PC Zombies Dissertação apresentada à Universidade de Aveiro para cumprimento dos requisitos necessários à obtenção do grau de Mestre em Mestrado integrado em engenharia de Computadores e Telemática, realizada sob a orientação do Professor Doutor Paulo Salvador e António Nogueira do Departamento de Electrónica, Telecomunicações e informática da Universidade de Aveiro

3 O júri Presidente Doutor João Nuno Pimentel da Silva Matos Professor Associado da Universidade de Aveiro Vogais Doutor Paulo Jorge Salvador Serra Ferreira Professor Auxiliar da Universidade de Aveiro Doutor António Manuel Duarte Nogueira Professor Auxiliar da Universidade de Aveiro Doutor Joel José Puga Coelho Rodrigues Professor Auxiliar do Departamento de Informática da Faculdade de Ciências de Engenharia da Universidade da Beira Interior

4 Agradecimentos Em primeiro lugar, agradeço aos meus Orientadores, Paulo Salvador e António Nogueira, a oportunidade que me deram para desenvolver esta tese, e pelo apoio prestado durante a execução da mesma. Aos demais professores da Universidade de Aveiro que contribuíram, directa ou indirectamente, para a minha formação académica. deste projecto. Aos amigos pelo incentivo e apoio prestado ao longo da realização Agradeço também aos meus familiares pelo apoio prestado, não só na realização deste trabalho, como no acompanhamento ao longo do curso. A todos muito Obrigado!

5 Palavras-chave Sistema detecção de intrusões, rede neuronal, Botnet, Pc Zombie, cavalo de troia. Resumo Este trabalho teve como objectivo o desenvolvimento de um sistema baseado em redes neuronais para a detenção automática de intrusões numa rede local de computadores. O sistema desenvolvido foi testado num ambiente laboratorial onde foram simuladas intrusões e as acções sobre a rede que as mesmas proporcionaram. Numa primeira fase foram testados vários rootkits para gerar tráfego ilícito embebido em tráfego de aplicações lícitas. Seguidamente utilizando os dados estatísticos recolhidos foi construída uma rede neuronal que depois de treinada mostrou-se capaz de identificar o tráfego que lhe é apresentado à entrada, distinguindo o tráfego que é gerado pelo rootkit como ilícito e o tráfego gerado por uma aplicação de um utilizador autorizado como lícito. Pretendeu-se com este trabalho iniciar o desenvolvimento de uma arquitectura que dê suporte as técnicas de identificação automática e inteligente de intrusões, usando redes neuronais para a detecção de PC Zombies e BotNets.

6 keywords Intrusion detection system, neural network, BotNet, PC Zombie, troyan horse, Traffic Pattern, Traffic signature. abstract The purpose of this work was to develop a system based on neural networks for the automatic detention of intrusion on a local network of computers. The system was tested in a laboratory environment, where was simulated some intrusions and actions on the network that this intrusions provided. Initially where tested out several rootkits to generate illicit traffic (zombie) embedded on licit application traffic. Then, using the statistical data collected was built a neural network, that after trained was able to identify the traffic that was presented at entry, distinguishing the traffic that was generated by the rootkit as illicit and traffic generated by an application of an authorized user as licit. The main goal of this work is to develop an architecture that supports the techniques of automatic identification and intelligent intrusion detection by using neural networks to detect PC Zombies and BotNets.

7 Índice 1 INTRODUÇÃO Objectivo Motivação Metodologias do Trabalho Estrutura da dissertação ENQUADRAMENTO DO TRABALHO Rootkits BotNets Malware Redes Neuronais Aplicações para detecção e Prevenção de Intrusões SISTEMA PROPOSTO Análise de Requisitos Arquitectura Utilizada TESTE E VALIDAÇÃO Descrição das Aplicações e do Perfil de Tráfego Gerado Descrição do Trojan, Funcionalidades e perfil de Tráfego Gerado Cenários Criados Resultados CONCLUSÃO E TRABALHO FUTURO Conclusão Trabalho Futuro REFERÊNCIAS BIBLIOGRÁFICAS... 73

8 Ulisses Miguel Rodrigues França Índice de Figuras Figura 1 Modelo Lógico de uma rede neuronal Figura 2 Modelo de um neurónio Figura 3 Modelo de uma camada com vários neurónios Figura 4 Modelo de uma rede neuronal com várias camadas Figura 5 Função de transferência hardlim Figura 6 Função de transferência purelim Figura 7 Função de transferência log-sig Figura 8 Intrusion detection agent (IDA) Figura 9 Arquitectura Rede neuronal proposta Figura 10 Sistema proposto para detecção de PC Zombies Figura 11 Esquema da rede neuronal utilizada na simulação Figura 12 Tráfego gerado quando apenas temos HTTP (download) Figura 13 Tráfego gerado ao longo do tempo quando apenas temos tráfego FTP (download) Figura 14 Tráfego gerado ao longo do tempo quando apenas temos tráfego Jogos (download) Figura 15 Tráfego gerado ao longo do tempo quando apenas temos tráfego Skype (download) Figura 16 Tráfego gerado ao longo do tempo quando apenas temos tráfego Stream Tv (download) Figura 17 Tráfego gerado ao longo do tempo quando apenas temos tráfego Stream Tv (download) Zoom da figura Figura 18 Variação largura de banda ao longo do tempo quando apenas temos tráfego Stream Rádio (download) Figura 19 Tráfego gerado ao longo do tempo quando temos tráfego Stream Rádio (download) Zoom da figura

9 Metodologias para Identificação de PC Zombies Figura 20 Tráfego gerado ao longo do tempo quando apenas temos tráfego RDC (download) Figura 21 Funcionalidade de Port Scan do subseven Figura 22 Funcionalidade de Snapshot em que foi alterado o intervalo entre envio de snapshots Figura 23 Zoom da figura 21, funcionalidade subseven de port scan com delay 1 s (canto superior esquerdo), com um delay de 2s (canto superior direito), com delay de 3 s (canto inferior esquerdo) e com um delay de 5 s (canto inferior direito) Figura 24 Zoom da figura 23, funcionalidade subseven de snapshot com período 1 S (canto superior esquerdo), com um período de 2 S (canto superior direito), com período de 3 S (canto inferior esquerdo) e com um período de 4 S (canto inferior direito) Figura 25 Funcionalidade de Snapshot em que foi alterada a qualidade do snapshot..51 Figura 26 Zoom da figura acima, funcionalidade subseven de snapshot alterando a qualidade do snapshot, com melhor qualidade (canto superior esquerdo), com metade da qualidade (canto superior direito), com a pior qualidade (canto inferior esquerdo) Figura 27 Largura de banda gerada utilizando o rootkit subseven com a funcionalidade de transferência de ficheiros Figura 28 Zoom da figura acima, funcionalidade subseven de transferência de ficheiros, a esquerda temos zoom dos primeiros 1700 s em que foi feito download e a direita temos a parte em que foi feito upload de um ficheiro Figura 29 Utilização da largura de banda quando são utilizadas todas as funcionalidades do subseven Figura 30 Zoom dos primeiros 500 s em que foram utilizadas todas as funcionalidades do subseven, aqui está representada a funcionalidade de port scan com um delay de 3 S Figura 31 Zoom da parte em que foi alterado o intervalo de envio de snapshots, a direita com um intervalo de envio de 1 S e a esquerda com um intervalo de envio de 3 S Figura 32 Zoom da parte em que foi alterando a qualidade de envio de snapshots, a direita snapshot com a melhor qualidade e a esquerda com metade da qualidade

10 Ulisses Miguel Rodrigues França Figura 33 Zoom da parte em que foi feita a transferência de ficheiros, a esquerda a parte de upload de um ficheiro e a direita a parte de download de um ficheiro Figura 34 Perfil de tráfego do serviço HTTP Figura 35 Á esquerda FTP+Streaming Video + port scan e a direita FTP + Streaming Video + snap quality (download) Figura 36 HTTP + FTP + snap quality (download) Figura 37 HTTP + Streaming Radio + port scan (download) Figura 38 Skype + HTTP + port scan (download) Figura 39 Skype + Jogos + port scan (download) Índice de Tabelas Tabela 1 valores de histórico (Hn) e valores de instantes agregados (Th) Tabela 2 Cenários criados com as aplicações utilizadas e a utilização do rootkit subseven Tabela 3 Cenários de utilizador criados com as aplicações utilizadas e a utilização do rootkit subseven Tabela 4 Resultados obtidos com o serviço HTTP Tabela 5 - Resultados obtidos com o serviço FTP Tabela 6 - Resultados obtidos com o serviço Stream TV. Pela tabela Tabela 7 - Resultados obtidos com o serviço Stream Rádio On-line Tabela 8 - Resultados obtidos com o serviço Skype Tabela 9 - Resultados obtidos com o serviço JOGOS Tabela 10 - Resultados obtidos com o serviço RDC Tabela 11 - Resultados obtidos com o Cenário FTP + Stream Vídeo Tabela 12 - Resultados obtidos com o Cenário FTP + HTTP Tabela 13 - Resultados obtidos com o Cenário HTTP + Stream Rádio On-Line Tabela 14 - Resultados obtidos com o Cenário HTTP + Stream Vídeo

11 Metodologias para Identificação de PC Zombies Tabela 15 - Resultados obtidos com o Cenário Stream Rádio + RDC Tabela 16 - Resultados obtidos com o Cenário HTTP + Skype Tabela 17 - Resultados obtidos com o Cenário Skype + Jogos Tabela 18 - Resultados obtidos com o Cenário Skype + Stream Rádio

12 Ulisses Miguel Rodrigues França Siglas ARP = Address Resolution protocol. ASCII = American Standard Code information Interchange. CBIPS = content based Intrusion Prevention system. DDoS = Distributed Denial Of Service. DoS = Denial Of Service. FTP = File Transfer Protocol. HIDS = Host Intrusion Detection System. HIPS = Host based Intrusion Prevention system. HTML = Hyper Text Markup Language. HTTP = Hypertext Transfer Protocol. HTTPS = Hypertext Transfer Protocol over Secure Socket Layer. ICMP = Internet Control Message Protocol. IDA = Intrusion Detection Agent. IDS = Intrusion Detection System. IP = Internet Protocol. IPS = Intrusion Prevention system. IRC = Internet Relay Chat. ISN = Initial Sequencer Number. ISP = Internet Service Provider. Mbps = Megabits por Segundo. NASL = Nessus Attack Scripting Language. NIDS = Network Intrusion Detection System. NIPS = Network Intrusion Prevention System. POP = Post Office Protocol. PSK = Pre-Shared Key. P2P = Peer to Peer. RDC = Remote Desktop Connection. RBIPS = Rate based Intrusion Prevention System. SSH = Secure Shell. TCP = Transmission Control Protocol. UDP = User Datagram Protocol. URL = Uniform Resource Locator. VoIP = Voice Over IP. ML = etensible Markup Language. 6

13 Metodologias para Identificação de PC Zombies 1 Introdução Actualmente, um dos grandes problemas da Internet é a quantidade de tráfego ilícito que é gerado. Entende-se por tráfego ilícito o tráfego que é gerado com o fim de desabilitar ou destruir sistemas, roubar informações e controlar sistemas. Este toma a designação de malware. Inicialmente o malware (spyware, ad-ware, entre outros) era constituído por pequenos programas criados para explorar os sistemas [1]. Com o crescimento da Internet, os sistemas tornaram-se mais robustos, conseguem detectar e eliminar o malware gerado, esta evolução também verificou-se nos programas que geravam malware (vírus, worms, trojans), que tornaram-se também mais robustos e minuciosos, explorando cada vez mais as falhas nos sistemas para atingir o seu fim. O que inicialmente eram pequenos programas para explorar os sistemas, apenas com o intuito de danificar, actualmente são redes organizadas de computadores (Botnets), com computadores a trabalhar para empresas, sem que os donos desses computadores tenham conhecimento (PC Zombie) [2]. Torna-se assim importante detectar os computadores que foram comprometidos (PC zombies). As técnicas tradicionais para detectar e mapear o tráfego que circula na Internet, e que detectam o malware, revelamse cada vez mais ineficazes, uma vez que o tráfego é mascarado, tornando difícil a tarefa de identificar este tráfego ilícito. Os trojans também evoluíram, tornaram-se mais inteligentes, mascaram também o seu tráfego de modo a confundir este com o tráfego normal gerado pelos utilizadores. Os operadores de rede querem reduzir a quantidade de tráfego ilícito a circular pelas suas redes, mas com as técnicas tradicionais torna-se quase impossível detectar e anular o malware gerado. As aproximações tradicionais de mapeamento de tráfego (detecção de serviços) tornaram-se imprecisas, porque muitas aplicações usam números de portos, que não são os seus, usam os mais bem conhecidos, associados a outras aplicações, mudando as assinaturas do tráfego ou usando criptografia. A análise de portos é a técnica mais simples para detectar aplicações e utilizadores na rede, e é baseada no simples conceito que muitas aplicações têm portos por defeito, a análise de protocolos monitoriza o tráfego a passar pela rede e inspecciona os dados dos pacotes de acordo com assinaturas previamente conhecidas. As aplicações IP estão constantemente a evoluir e as assinaturas também, o tráfego pode ser encriptado para dificultar a sua análise, onde esta, é baseada em assinaturas que pode afectar a estabilidade da rede, porque é necessário inspeccionar todo o tráfego da rede, e processar este tráfego de modo a reconhecer assinaturas presentes nos pacotes. Análise 7

14 Ulisses Miguel Rodrigues França sintáctica e semântica dos fluxos evita algumas das desvantagens da análise de portos, e da análise de protocolos. Esta aproximação pode efectuar reconhecimento de protocolos e extrair os dados de cada protocolo, no entanto esta análise pode ser pesada e não é aconselhado quando é necessária confidencialidade. O presente trabalho de dissertação tem como objectivo efectuar uma análise das técnicas que existem actualmente para identificar PC Zombies e verificar a viabilidade da utilização de redes neuronais para a detecção de tráfego ilícito, simulando cenários criados com aplicações, que são utilizadas por um utilizador comum, e utilizando os dados capturados para identificação do malware. O paper Detection of Illicit Traffic using Neural Networks [1], apresentado na conferência internacional (SECRYPT) resulta do trabalho feito ao longo desta dissertação Objectivo O objectivo desta dissertação é o desenvolvimento de mecanismos de detecção de PC Zombies, com base no histórico do perfil de tráfego, dos utilizadores de uma rede. Pretende-se desenvolver mecanismos para detecção de PC zombie. Será usada uma nova abordagem, baseada em redes neuronais para detectar aplicações na Internet, baseado nos agregados do tráfego de rede e estimando o nível de tráfego (isto é, a percentagem de bytes ou pacotes correspondente a uma aplicação do total do tráfego agregado) correspondente a cada aplicação. Com base nas redes neuronais existentes e no toolkit do matlab, pretende-se usar perfis de tráfego gerado pelos serviços que estão a ser executados num PC, e detectar tráfego Zombie Motivação O trabalho desenvolvido nesta dissertação foi motivado pela necessidade de novas técnicas para detecção de intrusões, onde há que ter em conta que, em qualquer parte do mundo, existem BotNets (redes organizadas de PC comprometidos) a trabalhar para fins ilícitos, sem que os seus donos tenham conhecimento. A necessidade de novas técnicas mais eficazes e mais rápidas, que as técnicas para a detecção de tráfego ilícito existentes actualmente é crucial. O desenvolvimento de novas técnicas para a detecção de PC zombies, não vem substituir as técnicas existentes actualmente, mas sim, trabalhar em conjunto com estas para detectar PC Zombies. 8

15 Metodologias para Identificação de PC Zombies A maneira mais fácil (tradicional) de detectar os serviços, que estão a ser executados numa rede, é verificar quais os portos que constam nos pacotes que passam pela rede. Aplicações que implementam serviços, como por exemplo FTP, usam os portos 20 e 21, aplicações HTTP usam o porto 80, estes portos são portos normalizados e bem conhecidos. Actualmente para fugir a este mecanismo tradicional de identificação de serviços utilizado por firewalls, o tráfego é mascarado de modo a não ser bloqueado pelas firewalls, a técnica é utilizar portos bem conhecidos, como por exemplo o porto 80 para outro tipo de serviços que não sejam HTTP (port forwarding). O tráfego também pode ser identificado pelos padrões presentes no payload dos pacotes, que são assinaturas bem conhecidas, presentes e que identificam os serviços que estão a ser executados, no entanto para ultrapassar a identificação do serviço que está a ser utilizado, usa-se a encriptação dos pacotes, tornando a identificação do tráfego com assinaturas muito difícil. Quando todas estas técnicas de identificação e categorização de tráfego falham, como podemos identificar o tráfego que está a ser gerado numa rede? As aplicações também podem ser identificadas pela quantidade de tráfego que geram, ao longo do tempo e pelo perfil de tráfego gerado. Por exemplo, a partilha de ficheiros gera grande quantidade de tráfego, em que é usada elevada largura de bandaisto é, caracteriza-se por uma grande variabilidade, variabilidade essa que pode ser atribuída ao grande número de Sessões TCP/IP que são abertas/fechadas. O serviço HTTP é caracterizado pela elevada utilização da largura de banda não periódica, com picos de duração muito curta devido aos clicks. Por outro lado, o serviço de jogos é caracterizado por picos com duração periódica, (alta frequência) e uma pequena largura de banda usada. As aplicações com requisitos de tempo real, como por exemplo TV on-line, Rádio on-line, Vídeo-Conversa, videoconferência entre outros, são aplicações caracterizadas pela utilização de uma largura de banda média, com pouca tolerância a perdas e atrasos de pacotes. Nestas aplicações é necessária uma largura de banda constante. As redes neuronais possuem um enorme potencial no reconhecimento de padrões, visto que podem ser utilizadas para detectar os mais diversos tipos de padrões, por exemplo são utilizadas no reconhecimento de sinais, reconhecimento de caracteres em estatística, para calcular previsões. Também podem ser usadas para detectar aplicações, visto que cada aplicação, gera uma quantidade de tráfego específica ao longo do tempo, a este padrão damos o nome de perfil de tráfego. Por exemplo, a nível de aplicações de Stream, o tráfego de vídeo e áudio gerado pelo serviço de mensagens instantâneas do 9

16 Ulisses Miguel Rodrigues França Messenger, será diferente do tráfego de Stream gerado pelo serviço oferecido pelo Skype. A nível de aplicações P2P podemos verificar que o tráfego gerado pelo Emul será diferente do tráfego gerado pelo limeware. Outro campo onde as redes neuronais poderão ser utilizadas, é na segurança em redes, onde poderá aparecer como uma técnica auxiliar na detecção e prevenção de infecções de malware e na detecção e prevenção de ataques. Por exemplo, se uma rede neuronal for treinada para identificar o perfil de tráfego gerado num ataque DoS (Denial Of Service), a rede ao identificar esse perfil de tráfego no inicio de um ataque, poderá bloquear os pacotes que estão a ser usados para atacar a rede, sem necessidade de processar o conteúdo dos pacotes. As redes neuronais também podem ser usadas para alertar um administrador de rede, que um PC na sua rede, está comprometido, e/ou alertar o próprio utilizador, se o administrador da rede mantiver um perfil de tráfego típico de cada utilizador, ao introduzir os dados (número de bytes por exemplo) que saem da interface do utilizador numa rede neuronal previamente treinada, ele poderá identificar quando o perfil de tráfego desse utilizador não corresponde ao perfil guardado, e poderá assim, gerar um alerta. É de notar que esta detecção é feita em tempo real, o que por vezes não pode ser feito por técnicas tradicionais tais como sistemas baseados em assinaturas, onde têm de procurar padrões (assinaturas), dentro dos pacotes e por isso têm que verificar o conteúdo destes. As redes neuronais poderão ser usadas em conjunto com outras técnicas tradicionais como por exemplo identificação dos portos que são utilizados, numa primeira identificação dos serviços, que estão a ser utilizados numa rede. Outra técnica que poderá funcionar em conjunto com a técnica de identificação de tráfego com redes neuronais, seria a identificação de aplicações usando assinaturas Metodologias do Trabalho A primeira tarefa a realizar será procurar um rootkit que gere o tráfego com as características necessárias (tráfego ilícito), para que este tráfego possa ser identificado pela rede neuronal. O passo seguinte será escolher uma rede neuronal que melhor se adapte as necessidades.para que o tráfego ilícito seja identificado, é necessário que a rede neuronal identifique este tráfego correctamente, e o mais rapidamente possível. Depois de escolher a rede neuronal a usar, é necessário modelar os parâmetros dessa rede neuronal, para obter os melhores resultados possíveis na identificação de cada perfil de 10

17 Metodologias para Identificação de PC Zombies tráfego. Depois de escolhida a rede neuronal e dos seus parâmetros, será feito o treino da rede neuronal, e finalmente a simulação dos diversos perfis de tráfego na rede neuronal. Serão criados vários perfis de tráfego, seleccionando os serviços que os utilizadores usam mais regularmente, como por exemplo, HTTP, FTP, Skype, Streaming TV, Streaming Rádio, Jogos e RDC. A etapa seguinte será usar os dados capturados, para treinar e posteriormente simular na rede neuronal, sendo obtida à saída da rede neuronal uma probabilidade de acerto, que representa o número de vezes que a rede neuronal consegue identificar correctamente o tráfego que é apresentado à entrada. De modo a obter uma aproximação de um cenário real, serão criados Cenários com perfis de utilizador, um exemplo de um cenário de utilizador poderá ser Tráfego HTTP e FTP. Depois de obter os dados dos perfis de utilizador, estes dados serão introduzidos na rede neuronal. O passo seguinte será simular os diversos tipos de tráfego mencionados acima, mas agora gerando também tráfego ilícito com o rootkit. Serão utilizadas algumas das funcionalidades do rootkit escolhido. E finalmente a rede neuronal será testada com os diversos dados recolhidos (número de bytes e número de pacotes, em download e upload) Estrutura da dissertação A presente dissertação está dividida em 5 capítulos. O primeiro capítulo é dedicado a apresentação do problema existente actualmente, onde é apresentada uma pequena introdução do problema. Neste capítulo, é também apresentado o objectivo e a motivação que levaram ao desenvolvimento desta dissertação. No segundo capítulo é feita uma descrição dos rootkits e das botnets, quais os elementos que existem numa botnet, as funcionalidades que uma botnet oferece e o seu modo de operação. Seguidamente são apresentados vários tipos de malware e o seu modo de funcionamento. Neste capitulo é também dada um pequena introdução as redes neuronais, quais os elementos constituintes das redes neuronais, seu modo de funcionamento e quais as suas aplicações. Por fim são apresentados os sistemas e tecnologias existentes para detecção e prevenção de intrusões, são apresentadas as potencialidades das redes neuronais e sua utilização. È apresentada uma pequena introdução e descrição dos sistemas, à medida que vão sendo apresentados. 11

18 Ulisses Miguel Rodrigues França No terceiro capítulo é apresentada a arquitectura utilizada, a configuração dos parâmetros utilizados na rede neuronal e uma descrição do modo de funcionamento da rede neuronal. No quarto capítulo são descritas as aplicações e o perfil de tráfego gerado, também é feita uma descrição do trojan utilizado (rootkit), suas funcionalidades, finalmente é feita uma descrição dos cenários de utilizador criados. Por fim, é apresentado o resultado do trabalho desenvolvido, ou seja, os resultados obtidos à saída da rede neuronal. São apresentados todos os testes realizados e uma explicação para os resultados obtidos. No quinto e último capítulo serão apresentadas as conclusões bem como as principais dificuldades encontradas durante a realização das experiências. Serão enumeradas quais as vantagens do modelo apresentado e apresentadas algumas ideias de trabalho futuro, bem como alguns aspectos que poderiam ainda ser melhorados na arquitectura actual. 12

19 Metodologias para Identificação de PC Zombies 2. Enquadramento do Trabalho Na secção 1 são dados alguns exemplos de rootkists existentes que podem gerar tráfego zombie. Neste capítulo é descrito o modo de operação das BotNets, quais os elementos que intervêm na organização e gestão, destas e quais as principais dificuldades encontradas na identificação de BotNets. Também é dada a definição de malware, quais os tipos de malware existentes, e modo de operação típico destes. Na secção 4 é dada um pequena introdução às redes neuronais, como são constituídas, como é que funciona uma rede neuronal, e finalmente são dados alguns exemplos de quais as potenciais utilizações das redes neuronais. Finalmente na secção 5 são dados alguns exemplos funcionais de sistema de detecção e prevenção de intrusões, alguns destes baseados em redes neuronais Rootkits Um rootkit é um conjunto de ferramentas que são usadas para esconder processos a correr; ficheiros ou dados do sistema e do sistema operativo; atacar e infectar outros computadores; roubar informações e interagir em tempo real com o sistema comprometido. Um rootkit pode tomar o controlo total de um sistema dando acesso privilegiado a utilizadores não autorizados. Com um rootkit podemos aceder a um sistema, onde podemos, executar tarefas; alterar as permissões de acesso; esconder ficheiros; efectuar ataques DoS (Denial Of Service) e tomar conta das ligações de rede. Seguidamente temos 3 exemplos de rootkits bem conhecidos: Subseven programa backdoor que dá acesso não autorizado a outros sistemas Windows 9x, através de uma ligação de rede. Este programa possui 3 ficheiros que são: o programa cliente (subseven.exe), que é a aplicação que vai permitir ao intruso, aceder remotamente ao PC onde está a correr o programa server.exe. O programa servidor (server.exe) permite aceder remotamente ao PC infectado. O terceiro ficheiro é o ficheiro de edição do servidor (editserver.exe) que permite ao intruso configurar o servidor para receber uma mensagem por correio electrónico, a notificar que o PC zombie esta activo, também permite que seja estabelecido um canal seguro entre o PC atacado e atacante, proteger o server.exe com password para não ser modificado, entre outras funcionalidades. 13

20 Ulisses Miguel Rodrigues França Back oriffice o programa servidor BO2K tem o tamanho de 100K, enquanto o programa cliente tem o tamanho de 500 K. Uma vez instalado no PC da vítima, o servidor dá acesso total ao atacante. Possui diversos plugins: BOPeep, controlo remoto completo snap in, Encryption encripta os dados enviados entre o BO2K GUI e o servidor. BOSOCK32, mais robusto, usa ICMP em vez de TCP ou UDP. O STCPIO, providencia controlo de fluxo encriptado entre o GUI e o servidor, tornando o tráfego mais difícil de detectar na rede. Netbus Existem dois componentes neste rootkit, um servidor e um cliente. O servidor é instalado no computador que vai ser remotamente controlado. O servidor fica a escuta num porto à espera que a aplicação cliente, contacte o servidor. O programa cliente possui uma interface gráfica que permite ao utilizador efectuar um grande número de operações no computador remoto. Algumas das potencialidades oferecidas por este rootkit são capture screen, keystroke logging; executar aplicações; download de ficheiros e reiniciar o sistema operativo BotNets O alargamento das ligações de Broadband levou ao aparecimento de novas ameaças contra os ISP e aos clientes, que os ISP servem. Uma BotNet é uma rede de computadores comprometidos, sob o controlo de um único botmaster, que possui a capacidade de lançar ataques de Denial Of Service (DoS); enviar uma grande quantidade de mensagens de (SPAM) não solicitadas; infectar outros sistemas vulneráveis com spyware de violação de privacidade, entre outras formas de malware. BotNet s são difíceis de detectar e ainda mais difíceis de parar devido as suas características dinâmicas e adaptativas que lhes permitem ultrapassar os meios de detecção tradicionais. Ao falhar as tecnologias baseadas em portos e em assinaturas, os ISP são forçados a adoptar novas formas de anular esta nova ameaça. Uma BotNet [2] começa quando um indivíduo, que é conhecido como o botmaster, faz o download de um programa de bot. O botmaster pode não actuar sozinho, investigações criminais começaram por ligar BotNet s a redes organizadas de crime [2]. Programas como AgoBot, SGBot e IRCBot estão disponíveis livremente na Internet como exploit code, tornando a criação de BotNet simples, onde geralmente, são exploradas as 14

21 Metodologias para Identificação de PC Zombies vulnerabilidades do SO Windows. Estas vulnerabilidades são atractivas, não só devido ao elevado número de vulnerabilidades de segurança, mas também devido ao SO Windows ser o mais popular, o mais usado entre os utilizadores e empresas. Depois de seleccionar o bot e a falha a explorar, o botmaster tem de usar um ou mais planos de controlo. A técnica mais comum é usar servidores de IRC públicos, para controlar a BotNet, apesar de existir outras técnicas disponíveis. O botmaster precisa de ter um plano de controlo, para poder executar comandos e receber feedback da BotNet, usando canais de IRC torna-se simples coordenar actividades através de milhares de máquinas distribuídas, Planos de controlo são frequentemente movidos para evitar a detecção [3]. O botmaster tem de agora construir o exército zombie que ligará à BotNet. Usando a vulnerabilidade escolhida o botmaster toma controlo de um grande número de sistemas. Uma vez que uma máquina esteja comprometida, imediatamente começa a escutar no plano de controlo para receber instruções. Durante a fase inicial da BotNet, as máquinas são apenas usadas para automaticamente procurarem outras máquinas para infectar. Um PC zombie pode fazer o scan de milhares de IP s por minuto, assim BotNet s podem crescer rapidamente no número de PC zombies. Cada sistema comprometido comunica pelo plano de controlo para aguardar instruções futuras, neste ponto um botmaster tem um único ponto de controlo sobre um exército de PC ligados por uma ligação broadband. Para além de providenciar um meio conveniente para enviar instruções para o exército, o plano de controlo também permite rapidamente alterar ou apagar código para explorar novas vulnerabilidades, capacidades que são cruciais para qualquer BotNet permanecer activa. Existem um grande número de razões para um botmaster precisar de actualizar a BotNet, pode ser necessário modificar o código bot para evitar detecção por dispositivos que aplicam assinaturas a pacotes e fluxos, ou talvez o botmaster precise de adicionar funcionalidades ao exército (novos comandos, algoritmos de scan optimizados, novos vectores de ataque). Como mencionado anteriormente planos de controlo IRC é um dos meios mais usados pelos botmaster s para controlar a BotNet, IRC é um plano de controlo muito atractivo visto que existem vários servidores IRC espalhados pela Internet e além do mais, quaisquer comandos que entrem no canal é feito o broadcast para todos os zombies que se tenham juntado à BotNet. Uma vez estabelecido o exército, o botmaster pode começar a efectuar ataques, por exemplo, pode ser utilizado para mandar a um website a baixo, ou para instalar spyware, spam ou trojans nas máquinas comprometidas, noutro exemplo, o botmaster seleccionou comprometer outras 15

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

Segurança Informática

Segurança Informática Cadeira de Tecnologias de Informação Ano lectivo 2009/10 Segurança Informática TI2009/2010_SI_1 Tópicos 1. O que é segurança? 2. Problemas relacionados com segurança 3. Criptografia 4. Assinatura digital

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Netiqueta (ou Netiquette)

Netiqueta (ou Netiquette) Netiqueta (ou Netiquette) Conjunto de atitudes e normas recomendadas (não impostas) para que todos os utilizadores possam comunicar através da Internet de um forma cordial e agradável. Evite a utilização

Leia mais

Sistemas Multimédia. Arquitectura Protocolar Simples Modelo OSI TCP/IP. Francisco Maia famaia@gmail.com. Redes e Comunicações

Sistemas Multimédia. Arquitectura Protocolar Simples Modelo OSI TCP/IP. Francisco Maia famaia@gmail.com. Redes e Comunicações Sistemas Multimédia Arquitectura Protocolar Simples Modelo OSI TCP/IP Redes e Comunicações Francisco Maia famaia@gmail.com Já estudado... Motivação Breve História Conceitos Básicos Tipos de Redes Componentes

Leia mais

4 Serviços de Aplicação

4 Serviços de Aplicação 4 Serviços de Aplicação A existência de um suporte de comunicação permite a interligação de diversos dispositivos e também a disponibilização de diversas aplicações que adicionam funcionalidades ao sistema.

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Analise da Informação na Rede Fernando Jorge Ribeiro Correia 1 Analise de tráfego 1.1 Objectivos Conhecer

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA Negócio Electrónico, 2006/2007 TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

Leia mais

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos. Agenda

Leia mais

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP CCNA 1 Conceitos Básicos de Redes Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP Introdução ao TCP/IP 2 Modelo TCP/IP O Departamento de Defesa dos Estados Unidos (DoD) desenvolveu o modelo de

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio Domínio de Conhecimento 3 Topologias e IDS Carlos Sampaio Agenda Topologia de Segurança Zonas de Segurança DMZ s Detecção de Intrusão (IDS / IPS) Fundamentos de infra-estrutura de redes Nem todas as redes

Leia mais

PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012.

PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012. PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012. ACRESCENTA A ARQUITETURA DE PADRÕES TECNOLÓGICOS DE INTEROPERABILIDADE - e-pingrio, NO SEGMENTO SEGURANÇA DE TECNOLOGIA INFORMAÇÃO E COMUNICAÇÃO

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer Netscape Navigator;

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

T ecnologias de I informação de C omunicação

T ecnologias de I informação de C omunicação T ecnologias de I informação de C omunicação 9º ANO Prof. Sandrina Correia TIC Prof. Sandrina Correia 1 Objectivos Aferir sobre a finalidade da Internet Identificar os componentes necessários para aceder

Leia mais

Material de Apoio Ameaças e Mecanismos de Proteção

Material de Apoio Ameaças e Mecanismos de Proteção Material de Apoio Ameaças e Mecanismos de Proteção (Aula 02) Parte 01: Ameaças 2 Malware Sumário Definição de Malware Descrição de Códigos Maliciosos Engenharia Social Referências 3 Malware Definição de

Leia mais

FAE São José dos Pinhais

FAE São José dos Pinhais FAE São José dos Pinhais Detecção de Intrusos PR.GOV.BR Hermano Pereira Agenda Segurança na Rede PR.GOV.BR Sistemas de Detecção de Intrusão Segurança da Informação e Gerência de Eventos Soluções da Equipe

Leia mais

Especificação do Sistema Operativo CAMES - CAixa Mágica Enterprise Server

Especificação do Sistema Operativo CAMES - CAixa Mágica Enterprise Server Especificação do Sistema Operativo CAMES - CAixa Mágica Enterprise Server Versão: 1.06 Data: 2010-11-15 SO CAMES 1 ÍNDICE A Apresentação do CAMES - CAixa Mágica Enterprise Server - Sistema Operativo de

Leia mais

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN www.brunoguilhen.com.br Prof. BRUNO GUILHEN MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. O processo de Navegação na Internet A CONEXÃO USUÁRIO

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Redes de Computadores. Trabalho de Laboratório Nº3

Redes de Computadores. Trabalho de Laboratório Nº3 Redes de Computadores Curso de Eng. Informática Curso de Eng. Electrotécnica e Computadores Trabalho de Laboratório Nº3 Rede Ponto-a-Ponto; Rede Cliente-Servidor; WAN básica com Routers 1 Objectivo Criar

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro Analista de Segurança da BRconnection POR GENTILEZA, MANTENHAM SEUS CELULARES DESLIGADOS DURANTE A APRESENTAÇÃO. OBRIGADO! Gerenciando Riscos em Comunicação

Leia mais

Seu manual do usuário NOKIA C111 http://pt.yourpdfguides.com/dref/824109

Seu manual do usuário NOKIA C111 http://pt.yourpdfguides.com/dref/824109 Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para. Você vai encontrar as respostas a todas suas perguntas sobre a no manual do usuário (informação,

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

LIÇÃO: Segurança Informática Reconhecimento de Vírus e Acção

LIÇÃO: Segurança Informática Reconhecimento de Vírus e Acção LIÇÃO: Segurança Informática Reconhecimento de Vírus e Acção Idade-alvo recomendada: 11 anos Guia da lição Os alunos irão desenvolver uma compreensão básica de problemas de segurança online e prevenção

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Projeto Integrador Segurança de Redes e Transmissão de Dados

Projeto Integrador Segurança de Redes e Transmissão de Dados FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO Projeto Integrador Segurança de Redes e Transmissão de Dados AYLSON SANTOS EDFRANCIS MARQUES HEVERTHON LUIZ THIAGO SHITINOE AYLSON SANTOS EDFRANCIS

Leia mais

INE 5223 Informática para Secretariado

INE 5223 Informática para Secretariado 4. AMBIENTE INTERNET UFSC Prof.: Achilles Colombo Prudêncio 4. Ambiente Internet UFSC 4.2. Utilização de Recursos da Internet O uso dos recursos da Internet vem sendo comentado sempre, em todos os tópicos

Leia mais

Tecnologias de Informação

Tecnologias de Informação : a) Conceito b) Equipamentos c) Aplicações Criptografia, Redes de Computadores e Internet Recordar: TI; Hardware; Software; Redes de computadores; Computadores e redes de computadores ligados (Internet).

Leia mais

Informação Útil Já disponível o SP1 do Exchange Server 2003

Informação Útil Já disponível o SP1 do Exchange Server 2003 Novidades 4 Conheça as principais novidades do Internet Security & Acceleration Server 2004 Membro do Microsoft Windows Server System, o ISA Server 2004 é uma solução segura, fácil de utilizar e eficiente

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Redes de Computadores. Trabalho de Laboratório Nº7

Redes de Computadores. Trabalho de Laboratório Nº7 Redes de Computadores Curso de Eng. Informática Curso de Eng. de Electrónica e Computadores Trabalho de Laboratório Nº7 Análise do tráfego na rede Protocolos TCP e UDP Objectivo Usar o Ethereal para visualizar

Leia mais

Internet. O que é a Internet?

Internet. O que é a Internet? O que é a Internet? É uma rede de redes de computadores, em escala mundial, que permite aos seus utilizadores partilharem e trocarem informação. A Internet surgiu em 1969 como uma rede de computadores

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

Negação de Serviço, Negação de Serviço Distribuída e Botnets

Negação de Serviço, Negação de Serviço Distribuída e Botnets Negação de Serviço, Negação de Serviço Distribuída e Botnets Gabriel Augusto Amim Sab, Rafael Cardoso Ferreira e Rafael Gonsalves Rozendo Engenharia de Computação e Informação - UFRJ EEL878 Redes de Computadores

Leia mais

Internet ou Net. É uma rede mundial de computadores ligados entre si através s de linhas telefónicas comuns.

Internet ou Net. É uma rede mundial de computadores ligados entre si através s de linhas telefónicas comuns. Internet Internet ou Net É uma rede mundial de computadores ligados entre si através s de linhas telefónicas comuns. Como Comunicam os computadores Os computadores comunicam entre si utilizando uma linguagem

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

SEGURANÇA DE DADOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURANÇA DE DADOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURANÇA DE DADOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Índice 1. INTRODUÇÃO... 3 2. ARQUITECTURAS DE ACESSO REMOTO... 3 2.1 ACESSO POR MODEM DE ACESSO TELEFÓNICO... 3 2.2

Leia mais

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Outubro de 2007 Resumo Este white paper explica a função do Forefront Server

Leia mais

02/07/2013. Definição de Rede. Compartilhando Dados. Usos de uma Rede NOÇÕES DE REDE: CONCEITOS BÁSICOS

02/07/2013. Definição de Rede. Compartilhando Dados. Usos de uma Rede NOÇÕES DE REDE: CONCEITOS BÁSICOS 2 Definição de Rede NOÇÕES DE REDE: CONCEITOS BÁSICOS Conjunto de tecnologias que conectam computadores Permite comunicação e colaboração entre usuários Introdução à Microinformática Prof. João Paulo Lima

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Ameaças a computadores. Prof. César Couto

Ameaças a computadores. Prof. César Couto Ameaças a computadores Prof. César Couto Conceitos Malware: termo aplicado a qualquer software desenvolvido para causar danos em computadores. Estão nele incluídos vírus, vermes e cavalos de tróia. Vírus:

Leia mais

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos.

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos. INTRODUÇÃO Essa apostila foi idealizada como suporte as aulas de Informática Educativa do professor Haroldo do Carmo. O conteúdo tem como objetivo a inclusão digital as ferramentas de pesquisas on-line

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt Santo André, novembro de 2015 Sistemas de Detecção de Intrusão IDS Sistemas de Detecção de Intrusão

Leia mais

INFORMÁTICA FUNDAMENTOS DE INTERNET. Prof. Marcondes Ribeiro Lima

INFORMÁTICA FUNDAMENTOS DE INTERNET. Prof. Marcondes Ribeiro Lima INFORMÁTICA FUNDAMENTOS DE INTERNET Prof. Marcondes Ribeiro Lima Fundamentos de Internet O que é internet? Nome dado a rede mundial de computadores, na verdade a reunião de milhares de redes conectadas

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

NETWORK SECURITY. Necessidade de Segurança. Definição de Segurança. Definição de Bens. Definição de Bens. Princípios para proteger uma rede

NETWORK SECURITY. Necessidade de Segurança. Definição de Segurança. Definição de Bens. Definição de Bens. Princípios para proteger uma rede Necessidade de Segurança NETWORK SECURITY O propósito das redes é o de partilhar recursos, no entanto haverá sempre o risco desses recursos serem acedidos por pessoal não autorizado. Princípios para proteger

Leia mais

Glossário de Internet

Glossário de Internet Acesso por cabo Tipo de acesso à Internet que apresenta uma largura de banda muito superior à da linha analógica. A ligação é feita com recurso a um modem (de cabo), que se liga à ficha de sinal de TV

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

Universidade da Beira Interior

Universidade da Beira Interior Universidade da Beira Interior Departamento de Informática Unidade Curricular Generalidades sobre Serviços de Comunicação na Internet Licenciatura em Tecnologias e Sistemas de Informação Cap. 1 - Sumário

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Vulnerabilidades

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Vulnerabilidades Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Vulnerabilidades Fernando Correia Capitão-de-fragata EN-AEL Outubro 2015 Fernando Correia

Leia mais

EN3611 Segurança de Redes Prof. João Henrique Kleinschmidt Prática Wireshark Sniffer de rede

EN3611 Segurança de Redes Prof. João Henrique Kleinschmidt Prática Wireshark Sniffer de rede EN3611 Segurança de Redes Prof. João Henrique Kleinschmidt Prática Wireshark Sniffer de rede Entregar um relatório contendo introdução, desenvolvimento e conclusão. A seção desenvolvimento pode conter

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

Introducing KIS / KAV 2009

Introducing KIS / KAV 2009 Introducing KIS / KAV 2009 September 18 de Setembro 16, 2008de 2008 Copyright Copyright 2008. 2008. Todos All os Rights Direitos Reserved. Reservados. 1 Great market Acceptance A maior companhia privada

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

O elo mais fraco. Parte I

O elo mais fraco. Parte I O elo mais fraco A segurança da informação nas empresas é sem dúvida um tema que começa a merecer cada vez mais atenção. Os responsáveis dos departamentos de informática e as empresas que desenvolvem actividade

Leia mais

Administração de Sistemas

Administração de Sistemas UNIVERSIDADE DA BEIRA INTERIOR Departamento de Informática Administração de Sistemas Licenciatura em: - Tecnologias e Sistemas de Informação 1. Generalidades sobre Serviços de Comunicação na Internet Docente:

Leia mais

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF REDES ESAF 01 - (ESAF - Auditor-Fiscal da Previdência Social - AFPS - 2002) Um protocolo é um conjunto de regras e convenções precisamente definidas que possibilitam a comunicação através de uma rede.

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES O QUE É PROTOCOLO? Na comunicação de dados e na interligação em rede, protocolo é um padrão que especifica o formato de dados e as regras a serem seguidas. Sem protocolos, uma rede

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

Guia de Estudo. Redes e Internet

Guia de Estudo. Redes e Internet Tecnologias da Informação e Comunicação Guia de Estudo Redes e Internet Aspectos Genéricos Uma rede de computadores é um sistema de comunicação de dados constituído através da interligação de computadores

Leia mais

ZS Rest. Manual Avançado. Instalação em Rede. v2011

ZS Rest. Manual Avançado. Instalação em Rede. v2011 Manual Avançado Instalação em Rede v2011 1 1. Índice 2. Introdução... 2 3. Hardware... 3 b) Servidor:... 3 c) Rede:... 3 d) Pontos de Venda... 4 4. SQL Server... 5 e) Configurar porta estática:... 5 5.

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Vodafone ADSL Station Manual de Utilizador. Viva o momento

Vodafone ADSL Station Manual de Utilizador. Viva o momento Vodafone ADSL Station Manual de Utilizador Viva o momento 3 4 5 5 6 6 7 8 9 12 12 14 16 17 18 19 20 21 22 22 23 23 24 24 24 25 26 27 Ligar o Router LEDs Configuração do Router Aceder à ferramenta de configuração

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Protegendo o seu negócio com servidores DNS que se protegem

Protegendo o seu negócio com servidores DNS que se protegem Resumo do produto: A Solução de DNS seguro da Infoblox reduz os ataques aos servidores DNS através do reconhecimento inteligente de vários tipos de ataque e atuando no tráfego de ataque enquanto continua

Leia mais

A segurança da sua informação e do computador é fundamental e depende muito de si.

A segurança da sua informação e do computador é fundamental e depende muito de si. Proteja o seu PC A segurança da sua informação e do computador é fundamental e depende muito de si. O que deve fazer? Manter o antivírus actualizado Não manter o antivírus actualizado é quase o mesmo que

Leia mais

UNIVERSIDADE DA BEIRA INTERIOR Faculdade de Engenharia Departamento de Informática

UNIVERSIDADE DA BEIRA INTERIOR Faculdade de Engenharia Departamento de Informática 1 Este é o seu teste de avaliação de frequência. Leia as perguntas com atenção antes de responder. Escreva as suas respostas nesta folha de teste, marcando um círculo em volta da opção ou opções que considere

Leia mais

O processo de ataque em uma rede de computadores. Jacson R.C. Silva

O processo de ataque em uma rede de computadores. Jacson R.C. Silva <jacsonrcsilva@gmail.com> O processo de ataque em uma rede de computadores Jacson R.C. Silva Inicialmente, se conscientizando... É importante ter em mente os passos que correspondem a um ataque Porém,

Leia mais

Verificar a reputação dos ficheiros através da Kaspersky Security Network

Verificar a reputação dos ficheiros através da Kaspersky Security Network Verificar a reputação dos ficheiros através da Kaspersky Security Network O sistema baseado em cloud Kaspersky Security Network (KSN), criado para reagir o mais rapidamente possível às novas ameaças que

Leia mais

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos.

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. REDES Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. TIPOS TIPOS LAN MAN WAN FUNCIONAMENTO DE UMA REDE TIPOS Cliente/ Servidor Ponto a ponto INTERNET Conceito 1.

Leia mais

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Conteúdo F-Secure Anti-Virus for Mac 2015 Conteúdo Capítulo 1: Introdução...3 1.1 Gerenciar assinatura...4 1.2 Como me certificar de que o computador está protegido...4

Leia mais

Segurança a da Informação Aula 06. Aula 06

Segurança a da Informação Aula 06. Aula 06 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Em Segurança a da Informação, o que vem a ser: Cracking de Senhas IP Spoofing Denial of Service Sniffer Trojan Engenharia Social Consolidação

Leia mais

CCNA 1 Conceitos Básicos de Redes. Módulo 11 Camada de Transporte TCP/IP Camada de Aplicação

CCNA 1 Conceitos Básicos de Redes. Módulo 11 Camada de Transporte TCP/IP Camada de Aplicação CCNA 1 Conceitos Básicos de Redes Módulo 11 Camada de Transporte TCP/IP Camada de Aplicação Camada de Transporte TCP/IP 2 Introdução à Camada de Transporte As responsabilidades principais da camada de

Leia mais

6127. Redes comunicação de dados. RSProf@iol.pt. 2014/2015. Introdução.

6127. Redes comunicação de dados. RSProf@iol.pt. 2014/2015. Introdução. Sumário 6127. Redes comunicação de dados. 6127. Redes comunicação de dados A Internet: Permite a interação entre pessoas. 6127. Redes comunicação de dados A Internet: Ensino; Trabalho colaborativo; Manutenção

Leia mais

F-Secure Anti-Virus 2013

F-Secure Anti-Virus 2013 F-Secure Anti-Virus 2013 F-Secure Anti-Virus 2013 Índice remissivo 3 Conteúdos Capítulo 1: Instalação...5 Antes de instalar a aplicação pela primeira vez...6 Instalar o produto pela primeira vez...6 Instalar

Leia mais

Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente.

Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente. TIPOS DE VÍRUS Principais Tipos de Códigos Maliciosos 1. Virus Programa que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.

Leia mais

Módulo 1 Introdução às Redes

Módulo 1 Introdução às Redes CCNA 1 Conceitos Básicos de Redes Módulo 1 Introdução às Redes Ligação à Internet Ligação à Internet Uma ligação à Internet pode ser dividida em: ligação física; ligação lógica; aplicação. Ligação física

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Novidades do AVG 2013

Novidades do AVG 2013 Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento

Leia mais

Vídeo Vigilância Abordagem Open-Source

Vídeo Vigilância Abordagem Open-Source Vídeo Vigilância Abordagem Open-Source Alunos: Justino Santos, Paulo Neto E-mail: eic10428@student.estg.ipleiria.pt, eic10438@student.estg.ipleiria.pt Orientadores: Prof. Filipe Neves, Prof. Paulo Costa

Leia mais