Análise e comparação de tipos e ataques em servidores brasileiros

1
GLEDSON SCOTTI
ANÁLISE E COMPARAÇÃO DE TIPOS DE ATAQUES EM SER-
VIDORES NO BRASIL
Monografia apresentada à Diretoria de
Pós-graduação da Universidade do Ex-
tremo Sul Catarinense - UNESC, para a
obtenção do título de MBA em Banco de
Dados.
Orientador: Prof. (MSc). Rogério Antônio
Casagrande.
CRICIÚMA, MAIO DE 2005.

2
RESUMO
O estudo tem por objetivo analisar os diversos tipos de ataques em
servidores brasileiros, bem como verificar resultados obtidos por sites de segu-
rança brasileiros como o CERT e CAIS. Neste será utilizado também um expe-
rimento com um software chamado HoneyPot para colher dados de tentativas
de ataques. Desta forma podemos verificar quais os procedimentos utilizados
por atacantes e prevenir as organizações sobre a importância da proteção de
suas informações. Demonstra-se alguns conceitos que descrevem ataques e
vulnerabilidades, bem como falhas e estatísticas que demostram a exploração
de tais vulnerabilidades nos quais estas falhas proporcionam.
Palavra-chave: segurança, CERT, CAIS, honeypot, vulnerabilidade, ataque, a-
tacante, hacker, cracker, IDS, firewall, invasão, criptografia.

3
SUMARIO
RESUMO .....................................................................................................................2
1 INTRODUÇÃO .........................................................................................................5
1.1 Objetivo Geral:................................................................................................................. 7
1.2 Objetivos Específicos:....................................................................................................... 7
1.3 Justificativa: ..................................................................................................................... 8
2 SEGURANÇA ...........................................................................................................9
2.1 Segurança Física:............................................................................................................ 10
2.1.1 Requisitos para Segurança Física: .............................................................................. 10
2.2 Segurança Lógica: .......................................................................................................... 13
2.2.1 Alguns requisitos para Segurança Lógica: ................................................................. 13
2.3 Vulnerabilidade.............................................................................................................. 15
2.4 Invasão............................................................................................................................ 15
2.5 Ataque............................................................................................................................. 16
2.5.1 Classificação de um ataque ......................................................................................... 16
2.5.2 Classificação de ataques conforme objetivo................................................................ 17
2.5.3 Classificação dos ataques conforme a origem............................................................. 17
3.2.3.1 Classificação de ataques conforme a Severidade..................................................... 18
2.5.3.1.1 Insignificante.......................................................................................................... 18
2.5.3.1.2 Pequeno.................................................................................................................. 19
2.5.3.1.3 Médio...................................................................................................................... 19
2.5.3.1.4 Grande ................................................................................................................... 19
2.5.3.1.5 Catastrófico............................................................................................................ 20
2.5.3.2 Formas de ataque...................................................................................................... 20
2.5.3.2.1 Ataques automatizados.......................................................................................... 20
2.5.3.2.2 Ataques Manuais ................................................................................................... 22
2.5.3.3 Técnicas de Ataques.................................................................................................. 23
2.6 Legislação ....................................................................................................................... 25
3 FERRAMENTAS DE SEGURANÇA............................................................................... 28
3.1 Firewalls.......................................................................................................................... 28
3.1.1 De acordo com os mecanismos de funcionamentos cita-se os seguintes firewalls:..... 29
3.2 IDS - Sistema de Detecção de Intrusão .......................................................................... 30
3.2.1 Em função das técnicas com que os IDSs reconhecem um ataque cita-se dois tipos :31
3.2.2 Além das técnicas, os IDSs são classificados em dois principais tipos: ...................... 32
3.3 HoneyPots - Pote de Mel ................................................................................................ 33

4
3.3.1 Tipos de HoneyPots ..................................................................................................... 34
3.5 Criptografia.................................................................................................................... 35
3.5.1 Criptografia Simétrica ................................................................................................ 36
3.5.2 Criptografia Assimétrica............................................................................................. 36
3.6 Ferramentas de Logs...................................................................................................... 37
4 ESTUDO DE CASO.......................................................................................................... 39
4.1 Pesquisa de Incidentes - CERT...................................................................................... 39
4.2 Pesquisa de Incidentes - HoneyPot................................................................................. 42
5 CONCLUSÃO................................................................................................................... 49
REFERENCIAS................................................................................................................... 51
GLOSSÁRIO..............................................................................................................55
ANEXO A - Projeto de Lei 1.713................................................................................57

5
1 INTRODUÇÃO
Com o crescente desenvolvimento de tecnologia para guerra (Segunda
Gerra Mundial), inicia-se a transferência de tecnologias dos laboratórios militares pa-
ra a sociedade civil, onde se dá a disseminação da eletrônica (BITTENCOURT,
2005).
No início os computadores eram equipamentos isolados, sendo que a
transferência de informações era feita de forma manual com auxílio de dispositivos
de entrada e saída como disquetes e impressoras. Com o surgimento das redes de
computadores, a facilidade de acesso à dados de outro computador, transmissão de
arquivos e impressão de documentos agilizou muito. Na época do surgimento das
redes o principal objetivo era possibilitar a conectividade entre as partes que esta-
vam se interagindo, portanto, enfatizava-se a interoperabilidade entre os computado-
res, dando pouca ênfase à segurança.
Com o advento da internet desenvolvida pela Arpanet em 1969, para
manter a comunicação das bases militares dos Estados Unidos e com o fim da Guer-
ra Fria, os militares não viram mais utilidades para esta tecnologia, onde a mesma
mais tarde seria utilizada pelas universidades. Tal tecnologia foi aumentando e deu
origem ao que se chama hoje de Internet (Word Wide Web). Com a Internet, a globa-
lização e comunicação mundial, tornou-se uma facilidade para todos, e hoje qual-
quer pessoa pode ter acesso à internet, seja em casa, escolas, universidade e traba-
lho.
Com o aumento desta comunicação, surgiram fraudes na internet, softwa-
res com o objetivo de destruir, espionar, roubar informações. Houve então a neces-
sidade de aumentar a segurança nos computadores e em suas redes interligadas.

6
Este trabalho visa explanar noções de segurança, segurança física e lógi-
ca, requisitos para uma boa segurança, projeto de lei 1.713 que fala sobre penalida-
des de crimes ligados a informática, vulnerabilidades, tipos de ataques, ferramentas
de segurança, criptografia. Inclui uma pesquisa de incidentes no Brasil colhida pelo
site de segurança CERT e por uma ferramenta “armadilha” chamada HoneyPot (pote
de mel) instalada em um computador ligado diretamente a internet, sem proteção de
firewalls ou qualquer outro sistema hardware/software de segurança. A função desta
ferramenta é simular serviços autênticos, com a finalidade de colher informações so-
bre os mais explorados. Com estes dados, pode-se confrontar com as estatísticas do
site de segurança CERT e verificar os serviços mais visados/atacados no Brasil
(BOGO, 2005; PUTTINI, 2005).
O CERT.br, anteriormente denominado NBSO/Brasilian CERT, é o Grupo
de Respostas a Incidentes de Segurança para a Internet Brasileira, mantido pelo
Comitê Gestor de Internet no Brasil. É o grupo responsável por receber, analisar e
responder a incidentes de segurança da internet brasileira. Além do processo de
respostas a incidentes em si, o CERT.br também atua através do trabalho de cons-
cientização, sobre os problemas da segurança, da correlação entre evento na Inter-
net brasileira e do Auxílio a estabelecimentos de novos CSIRTs no Brasil.
O CAIS – Centro de Atendimento a Incidentes de Segurança atua na de-
tecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasi-
leira, além de elaborar, promover e disseminar práticas de segurança em redes. En-
tre as atividades do CAIS o atendimento a incidente de segurança, coordenação
com grupos de segurança já existentes, fomento a criação de novos grupos de segu-
rança nos país, disseminação de informação na área de segurança em redes, Divul-
gação de recomendações e alertas, Testes e recomendações de ferramentas de se-

7
gurança, Recomendações de políticas de segurança para o RNP (Rede Nacional de
Ensino e Pesquisa) e outros.
CSIRT em inglês significa Computer Security Incident Response Team.
Em português é traduzida como Grupo de Respostas a Incidentes de Segurança.
1.1 Objetivo Geral:
Descrever quais serviços são mais visados por invasores no Brasil, ser-
vindo como base para uma maior conscientização das empresas públicas e privadas
em relação aos perigos ou danos que a falta de segurança em TI pode causar.
1.2 Objetivos Específicos:
• Explorar acervo e recursos relacionados ao tema;
• Explanar conceitos de segurança de modo significativo para que as empresas
públicas e privadas tenham consciência do perigo da falta de segurança a infor-
mação de suas empresas;
• Pesquisar sites de segurança no país para obter dados estatísticos;
• Instalar sistema de captura de informações HoneyPOT (pote de mel);
• Confrontar os dados de pesquisas colhidas com os dados do experimento.

8
1.3 Justificativa:
É evidente que as atuais organizações dependem muito dos sistemas in-
formatizados. A quantidade de sistemas computacionais que controlam os mais vari-
ados tipos de operação e o próprio fluxo de informação da empresa vem aumentan-
do a cada dia. Por conta disso, as organizações brasileiras, como um todo, estão
adotando o computador como ferramenta indispensável para seu crescimento e con-
seqüentemente melhoria nos serviços prestados.
Analisando o crescimento da internet no Brasil e o custo de equipamentos
de informática, pode-se, afirmar que se esta na era da informação. A informação
passou a ser considerada o principal patrimônio de uma organização e com o gran-
de avanço tecnológico passou a estar em constante risco.
Com isso, a segurança da informação passou a ser um ponto crucial para
a sobrevivência das instituições. Com o desenvolvimento na área computacional, a
chegada dos computadores pessoais e o surgimento de redes capazes de conectar
computadores do mundo inteiro, os aspectos de segurança passaram a ser comple-
xos a ponto de haver necessidade de criar equipes e métodos de segurança cada
vez mais sofisticados.
Diante do exposto, este trabalho vem elucidar de forma clara e objetiva os
aspectos gerais da Segurança em Sistemas Operacionais de Servidores Corporati-
vos, a origem, os métodos, procedimentos de invasões e sua verdadeira importância
nas empresas.

9
2 SEGURANÇA
Segurança. S.F. 2. Estado, qualidade ou condição de seguro. 3. Condição
daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro.
[Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, ga-
rantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz,
eficiente (Dicionário Aurélio).
A Segurança da Informação protege a informação de uma gama extensi-
va de ameaças para assegurar a continuidade dos negócios, minimizar os danos
empresariais e maximizar o retorno em investimentos e oportunidades. É caracteri-
zada pela preservação da confidencialidade, integridade e disponibilidade.
Um computador (ou sistema computacional) é dito seguro se este atende
aos três requisitos básicos relacionados anteriormente. A confidencialidade diz que a
informação só está disponível para aqueles devidamente autorizados; a integridade
diz que a informação não é destruída ou corrompida e o sistema tem um desempe-
nho correto, e a disponibilidade diz que os serviços/recursos do sistema estão dis-
poníveis sempre que forem necessários (MONTEIRO, 2003; MISAGHI, 2003).
Alguns exemplos de violações a cada um destes requisitos são:
- Confidencialidade: alguém obtém acesso não autorizado ao computador e lê todas
as informações contidas na Declaração de Imposto de Renda;
- Integridade: alguém obtém acesso não autorizado ao computador e alteram infor-
mações da Declaração de Imposto de Renda, momentos antes de ser enviada à Re-
ceita Federal;

10
- Disponibilidade: o provedor sofre uma grande sobrecarga de dados ou um ataque
de negação de serviço e por este motivo fica impossibilitado de enviar a Declaração
de Imposto de Renda à Receita Federal.
A segurança na área de Tecnologia da Informação (TI) se divide em duas á-
reas: a segurança física e a segurança lógica (CARTILHA, 2005).
2.1 Segurança Física:
Medidas usadas para garantir a proteção física dos recursos contra ame-
aças voluntárias e involuntárias (ex.: incêndio, invasões, acidentes, etc.).
A proteção dos dados de uma empresa não está restrita aos computado-
res, é muito mais abrangente que o CPD da empresa (HENRIQUE, 2005).
2.1.1 Requisitos para Segurança Física:
Conforme Monteiro (2003, p139) descreve-se abaixo alguns requisitos pa-
ra Segurança física.
• Manter um diagrama (croquis) mostrando áreas de risco de segurança para
os funcionários; colocá-lo em uma parede onde todos possam ver (num
corredor, por exemplo); indicar no diagrama, saídas de incêncio, escadas de
emergência, área de risco, extintores de incêndio entre outros. Na maioria das
empresas, isto não é de responsabilidade do Centro de Processamento de
Dados (CPD), nem do administrador de redes ou o responsável pela
segurança de informações (Security Officer ), isto é de responsabilidade da
Comissão Interna de Prevenção de Acidentes.

11
Já deve ser uma medida da empresa caso a mesma tenha referida
Comissão, ter Comunicações Internas sobre o que fazer em caso de
acidentes, ou seja, se um funcionário se queimar ou cair da escada, se o
prédio pegar fogo ou for inundado, como se deve proceder. A Comissão
interna deve ter normas e/ou procedimentos para este tipo de situação.
O Centro de Processamento de Dados também pode ter suas
normas particulares para evitar acidentes que pode ocorrer de uma hora para
outra sem aviso, principalmente com desastres naturais, que não são ameças
de ataques cibernéticos, mas podem deixar os sistemas computacionais
inoperantes.
O calor e a umidade são bons exemplos, apesar de não serem
notados ou não se dar a devida importância a respeito, pois causam
superaquecimento nos equipamentos de informática se o ambiente não for
seco, limpo e bem arejado.
• Algumas salas, dependendo da importância das informações, poderão ter
fechaduras eletrônicas, podendo ser acionadas com o uso de impressão
digital (biometria) e cartões magnéticos.
Biometria é mais bem definida como sendo as medidas ou
características fisiológicas de comportamento que podem ser utilizadas para
verificação de identidade de um indivíduo. Elas incluem impressões digitais,
voz, retina, íris, reconhecimento de face, imagem térmica, análise de
assinatura, palma da mão e outras técnicas.
Inicialmente estas técnicas eram empregadas em aplicações
especializadas de alta segurança, entretanto sua usabilidade é proposta de
uso em uma grande e crescente área de situações em utilizações públicas no

12
nosso dia a dia. Elas são de grande interesse em áreas onde é realmente
importante verificar a real identidade de um indivíduo (SEGURANÇA, 2005)
• Equipes de segurança patrimonial devem ser avisadas de pessoas que
trabalham à noite, principalmente utilizando computadores. Quando acharem
necessário, devem questionar tais funcionários. Outro ponto que deve ser
levado em conta, são os funcionários de empresas terceirizadas que
trabalham com limpeza, cafés, atendimento ao público, recepcionistas,
serviços gerais ou qualquer outro cargo terceirizado. Um deles pode ser um
invasor, e o seu turno de trabalho é o melhor, pois trabalha a noite e os
funcionários não estão mais por perto.
• Manter fora da empresa em um local seguro as cópias de segurança evita
que, caso a empresa sofre um incêndio ou outro tipo de desastre natural, os
dados não se percam, pois foram armazenados fisicamente em outro local.
• Utilizar um projeto de cabeamento estruturado para permitir mudanças futuras
na estrutura de rede da empresa. A empresa e a rede ao longo de sua vida
útil sofrem mudanças. Isto deve ser previsto.
• Observação por vídeo. Câmeras de vídeo em um circuito interno dependendo
do tipo de segredo que se quer guardar. Com o avanço da internet pode-se
monitorar toda uma empresa, à distância, com o auxílio de câmeras com
baixo custo e internet rápida.
• Extintores de incêndio de pó químico, na sala dos servidores bem a vista, pois
na hora do incêndio acontecem duas coisas: ou todos correm ou os que ficam

13
procuram extintores que nunca estão próximos quando se precisa.
Treinamento de como se comportar e que extintor pegar para cada incêndio é
válido, pois não adianta tentar apagar fogo de laboratório de informática com
extintores à base de água.
2.2 Segurança Lógica:
Sistema de informação baseado em mecanismos que permitem aos ge-
rentes de sistemas controlarem o acesso e o uso dos recursos de informações in-
formatizadas (HENRIQUE, 2005).
2.2.1 Alguns requisitos para Segurança Lógica:
Monteiro (2003, p142) ainda descreve em sua obra, alguns requisitos pa-
ra Segurança lógica mencionados abaixo.
• Desabilitar acesso remoto à noite e aos finais de semana, por exemplo, às
portas ftp, ssh e telnet, se houver necessidade das mesmas estarem habilita-
das;
• Fazer um levantamento de quem realmente necessita realizar um acesso re-
moto e habilitar o serviço somente na ocasião em que o usuário necessitar;
• Estabelecer um final de semana por mês para auditar as máquinas da empre-
sa, verificando estado de antivírus, softwares proibidos pela empresa ou irre-
gulares;

14
• Criar um grupo responsável por testar novos softwares, propor aquisição e
técnicos treinados regularmente. Grupo de Prospecção de Softwares, depen-
dendo do tamanho da empresas pode ser criado, o mesmo grupo poderá libe-
rar ou rejeitar software ou hardware por considerá-lo inseguro, ineficiente, len-
to ou de difícil manutenção;
• Dependendo do ramo de negócio da empresa, as mesmas poderão adotar a
implantação de Certificados Digitais, que trará benefícios, como o tráfego de
e-mail e documentos assinados digitalmente e criptografados entre os setores
da empresa, funcionários locais e funcionários remotos;
• Criar um mapa atualizado da rede da empresa, ilustrando áreas segundo o
grau de risco quanto a ataque de hacker. Estas áreas poderão ter vários ní-
veis de riscos e neles são definidos os níveis de operação;
• Criar um servidor de backup para os serviços de web, DNS, mail, contas de
usuários entre outros. Quando um servidor for atacado, o mesmo não deve
ser restaurado, ele deve ser retirado da rede e substituído pelo servidor Bac-
kup para análise em seus logs;
• Implantar uma unidade de fita ou gravadora de CD/DVD em um dos servido-
res do Centro de Processamento de Dados, pois além de facilitar a cópia de
grande quantidade de dados, permite que seja estabelecida uma rotina de
backup;
• Criar um plano de backup, incluir o que deverá estar no backup e quem deve-
rá ser o responsável por tal operação;
• Apagar contas de antigos usuários da empresa ou mesmo desabilitá-las caso
o usuário entre de férias;

15
• Estabelecer como parte do processo de demissão, que os técnicos do labora-
tório recebam do setor pessoal o relatório dos funcionários desligados da em-
presa, para que os mesmos excluam suas contas de rede;
• Separar a rede administrativa de outros tipos de redes interna;
• O uso de switches para a separação de redes em favor de hubs aumenta as
dificuldades de espionagem de barramentos de redes como programas snif-
fers;
• Criar regras de horário e dia de uso para determinadas contas;
2.3 Vulnerabilidade
Vulnerabilidade é definida como uma falha no projeto ou implementação
de um software ou sistema operacional, que quando explorada por um atacante re-
sulta na violação da segurança de um computador. Existem casos onde um software
ou sistema operacional instalado em um computador pode conter uma vulnerabilida-
de que permite sua exploração remota, ou seja, através da rede. Portanto, um ata-
cante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não
autorizado ao computador vulnerável.
2.4 Invasão
Invasão é a entrada em um site , servidor, computador ou serviço por
alguém não autorizado. Mas antes da invasão propriamente dita, o invasor poderá
fazer um teste de invasão, uma tentativa de invasão em partes, denominando-se

16
ataque, onde o objetivo é avaliar a segurança de uma rede e identificar seus pontos
vulneráveis.
Mas não existe invasão sem um invasor, que pode ser conhecido, na
maioria das vezes, como Hacker ou Cracker. Ambos usam seus conhecimentos para
se dedicarem a testar os limites de um sistema, ou para estudo e busca de conheci-
mento ou por curiosidade, ou para encontrar formas de quebrar sua segurança ou
ainda, por simples prazer. Mas também pode ser por mérito, para promoção pessoal,
pois suas descobertas e ataques são divulgados na mídia e eles se tornam conheci-
dos no seu universo, a diferença é que o Cracker utilizam as suas descobertas para
prejudicar financeiramente alguém, em benefício próprio, ou seja, são os que utili-
zam seus conhecimentos para o mal.
2.5 Ataque
Segundo Shirey (2005), um ataque é uma ação nociva à segurança de
um sistema que deriva de uma ameaça inteligente, sendo essa ameaça uma tentati-
va deliberada (no sentido de método ou técnica) de evitar os serviços de segurança
e violar a política de segurança de um sistema, podendo ser classificado, inicialmen-
te, quanto ao seu objetivo em passivo e ativo e também quanto à sua origem em in-
terna e externa.
2.5.1 Classificação de um ataque
Para auxiliar na compreensão dos riscos de ataque aos quais os sistemas
digitais estão expostos, é necessário classificar os ataques conforme objetivo, ori-
gem e severidade.

17
2.5.2 Classificação de ataques conforme objetivo
• Ataque Passivo – são os que buscam obter informações para se beneficiarem
delas, sem impedir o funcionamento do sistema invadido. Furtos de senhas,
de endereços de e-mails, espionagem digital, fraude bancária e esquemas de
desvio de dinheiro são exemplos de ataques do tipo passivo.
• Ataque ativo – são os que além do atacante tentar obter informações que lhe
traga benefícios, buscam afetar o funcionamento do sistema invadido, através
de desativação de serviços críticos em servidores. São exemplificados pela
pichação de sites, destruição intencional de dados, desperdício de recursos
do sistema (processamento, memória, documentos de impressão), suspensão
dos serviços e até desativação por completo de um alvo, e, potencialmente,
danos físicos ao equipamento envolvido. (KLER, 2004).
2.5.3 Classificação dos ataques conforme a origem
• Ataque interno - Ataques internos são aqueles que são iniciados do lado de
dentro da empresa. São considerados ataques internos todas as atividades
que visam fazer mal uso dos recursos computacionais por usuários que
teriam direitos de acesso regularmente. Funcionários que se valem da
confiança garantida a ele pela empreza que utilizam os recursos para buscar
informações sensíveis, infectar equipamentos com vírus e ações de
engenharia social, para obter informações sigilosas ou para comprometer as
mesmas são exemplos de ataques internos.

18
• Ataque externo - Ataques externos são todas as atividades nocivas ao funcio-
namento dos recursos computacionais que partam do perímetro externo (In-
ternet) direcionado ao perímetro interno (Intranet) da entidade atacada. Os a-
taques externos além de ter por diferenciação o perímetro, também são dife-
renciados por ser todos aqueles gerados por usuário não autorizados ou não
cadastrados no sistema (ilegítimos). No entanto, em uma rede corporativa é
possível conceber-se diversos perímetros de segurança e ataques vindos de
outros setores, apesar de estarem partindo da mesma rede física, seriam
considerados como ataques externos.
3.2.3.1 Classificação de ataques conforme a Severidade
Outra forma de caracterização de um ataque é quanto ao dano, se o
mesmo foi feito com sucesso. A severidade é determinada de acordo com o tempo
gasto com a recuperação do mesmo, se houver. O grau de severidade, no entanto,
não pode ser mensurado, pois um ataque insignificante para uma empresa, pode ser
de catastrófico para outra.
2.5.3.1.1 Insignificante
São os que não prejudicam no funcionamento de uma empresa, são
ataques que são recuperados um uma fração pequena de tempo, sem causar
grande impacto à entidade atacada. Estes ataques não interrompem o bom
funcionamento de uma entidade e nem as causa danos financeiros. O maior

19
prejuízo é o de mão-de-obra utilizada para a solução do problema. Um exem-
plo deste é a presença de um vírus em um computador.
2.5.3.1.2 Pequeno
São ataques que ocupam uma fração maior de tempo comparado aos a-
taques insignificantes. Neste há um atraso de resposta no sistema, algumas perdas
de movimentação, porém é resolvido com a restauração do sistema atacado utili-
zando cópias de segurança. Não há repercussão nos negócios nem interferência
com seus clientes.
2.5.3.1.3 Médio
Neste tipo de ataque existirá uma repercussão nos negócios da empresa
e interferência para com os seus clientes. A situação é resolvida satisfatoriamente.
Porém com maior esforço causando maior desgaste interno e externo. Exemplo des-
te seriam erros graves no faturamento e perda de dados sem cópias de segurança.
2.5.3.1.4 Grande
São acontecimentos que causariam grandes problemas como perdas to-
tais nos dados, prejuízos financeiros irrecuperáveis, perda de imagem e posição no
mercado.

20
2.5.3.1.5 Catastrófico
Estes ataques são aqueles que afetam o negócio principal da entidade
afetada, causando prejuízos irrecuperáveis, que originam processos judiciais ou até
a finalização das atividades da entidade. Um exemplo de ataque incapacitante é o
de 11/09/2001 onde diversas empresas deixaram de existir com as quedas das tor-
res gêmeas em Nova York (EUA) (PEREIRA, 2005).
2.5.3.2 Formas de ataque
Uma vez conhecendo os tipos de ataque é necessário saber como são
feitos para poder finalmente proteger os sistemas contra os mesmos. Entender as
formas de ataque e as ferramentas utilizadas é uma necessidade para se conseguir
gerar ferramentas e técnicas de prevenção à novas ações.
Duas formas de ataque são caracterizadas: ataques automatizados e ata-
ques manuais. Ataques automatizados são mais comuns pela facilidade e rapidez de
execução e por não exigir muita experiência do atacante. Já o ataque manual é con-
siderado potencialmente mais perigoso devido à maneira de execução e pela expe-
riência por parte do atacante (ROCHA, 2005).
2.5.3.2.1 Ataques automatizados
Ataques automatizados são aqueles que não demandam atenção humana
para sua efetivação, podendo ocorrer apenas através da execução de scripts e soft-
wares específicos para invasão (KLER, 2004).

21
Alguns exemplos de ataques automatizados: vírus, worms, cavalos de
tróia e scripts de invasão (exploits), descritos a seguir:
• Vírus - Vírus é um programa capaz de infectar outros programas e arquivos
de um computador. Para realizar a infecção o vírus embute uma cópia de si
mesmo em um programa ou arquivo, que quando executado também executa
o vírus, dando continuidade ao processo de infecção. Para o usuário ser in-
fectado por um vírus de computador é necessário que ele execute o mesmo,
este podendo vir em forma de um arquivo do texto, planilha, anexado em um
e-mail como cartão de aniversário, disquetes e cd’s com procedência duvido-
sa;
• Worms - são programas capazes de se propagarem automaticamente através
de redes vulneráveis, enviando cópias de si mesmo de computador para
computador. Diferente do vírus, o worm não necessita ser explicitamente exe-
cutado para se propagar. Sua propagação se dá através da exploração de
vulnerabilidades existentes ou falhas na configuração de softwares instalados
em computadores;
• Cavalos de Tróia - são softwares aparentemente úteis e inofensivos, mas que
em seu código contêm sessões nocivas que buscam burlar políticas e siste-
mas de segurança, gerando vulnerabilidades que posam ser exploradas pos-
teriormente pelo atacante. Cavalos de tróia em geral não são detectados pela
sua assinatura em arquivos contaminados (vírus), nem pela sua execução em
sistemas contaminados (worms), mas pelos seus efeitos. Quando um sistema
é contaminado por um cavalo de tróia, esta aplicação maliciosa abre um a-
cesso que aceita conexões externas por onde o invasor irá efetuar seu ataque
com sucesso, este meio de acesso é conhecido por jargão técnico como

22
"BackDoor". É através da monitoração destes efeitos que os programas anti-
vírus conseguem encontrar a presença de cavalos de tróia em um sistema. A
infecção por um cavalo de tróia se baseia em ataques de engenharia social
onde o usuário pode ser exposto a estes riscos através de sites aparentemen-
te idôneos, softwares e ferramentas condescendentes com pirataria de soft-
ware e aplicativos de origem duvidosa. Worms podem conter em seu código
um componente de cavalo de tróia, permitindo que o atacante tenha a capa-
cidade de infecção de um vírus com a abertura de brechas no sistema carac-
terística do cavalo de tróia.
• Scripts de invasão e Ferramentas de Exploração de Falhas (Exploits) - são
pacotes de softwares e instruções encadeadas para se fazer invasões a sis-
temas. Estes scripts são criados por indivíduos com alto grau de capacidade
técnica para explorar amplas listas de fragilidades e falha conhecida em sis-
temas. Estas falhas e fragilidade em geral são expostas pelo próprio criador
do software envolvido, e subseqüentes remendos ou consertos são desenvol-
vidos para o software, com o objetivo de evitar a falha conhecida. Os criado-
res de scripts, então, criam ferramentas e receitas que visam exatamente ata-
car estas falhas conhecidas, buscando tomar o controle do sistema afetado.
2.5.3.2.2 Ataques Manuais
Normalmente os atacantes constroem suas próprias ferramentas, por
possuírem grande experiência no assunto, escolhendo cuidadosamente o alvo e o
estudando durante muito tempo. Uma vez escolhido o alvo, basta uma falha de se-
gurança não atendida para que o ataque possa ser efetuado.

23
2.5.3.3 Técnicas de Ataques
Existem muitas técnicas de ataques e ferramentas para invasão e a cada
dia aparecem novidades a respeito. Abaixo a descrição de algumas técnicas de
ataques :
• Spoofing: É a falsificação de endereços IP (datagramas) para fazer o sistema
receptor acreditar que eles são provenientes de um computador que não seja
o verdadeiro remetente (PAGEZINE, 2005);
• Sniffer: são programas utilizados para capturar informações que trafegam na
rede, com o objetivo de analisar os dados ou roubar informações. Sniffer
significa cheirar e nas mãos de intrusos, permite o roubo de informações e
senhas não criptografadas(texto simples)(BANRISUL, 2005);
• DoS - Negação de Serviços: Ataque que consiste em sobrecarregar um
servidor com uma quantidade excessiva de solicitações de serviços (MELO,
2004, p.145);
• DDoS - Negação de Serviços Distribuída: São ataques semelhantes ao DoS,
tendo como origem diversos e até milhares de pontos disparando ataques
DoS para um ou mais sites determinados. Para isto, o invasor coloca agentes
para dispararem o ataque em uma ou mais vítimas. As vítimas são máquinas
escolhidas pelo invasor por possuírem alguma vulnerabilidade. Estes agentes,
ao serem executados, se transformam em um ataque DoS de grande escala
(MELO, 2004,p.163).
• Quebra de Senhas: Tecnica utilizada para descobrir senhas de arquivos ou
sistema, geralmente estes são programas prontos e automatizados que

24
possui um dicionário de palavras para fazer as tentativas até encontrar a
senha correta;
• Mail Bomb: Consiste em sobrecarregar a caixa de corrêio de um computador
com mensagens eletrônicas. O atacante utiliza programas específicos para
automatizar o processo de envio contínuo de mensagens com o objetivo de
provocar a falha de serviço no servidor de correio(BANRISUL, 2005);
• Phreaking: É o uso indevido de linhas telefônicas, fixas ou celulares. No
passado, os phreakers empregavam gravadores de fita e outros dispositivos
para produzir sinais de controle e enganar o sistema de telefonia. Conforme
as companhias telefônicas foram reforçando a segurança, as técnicas
tornaram-se mais complexas. Hoje, o phreaking é uma atividade elaborada,
que poucos atacantes dominam;
• Smurf: O Smurf é outro tipo de ataque de negação de serviço. O agressor
envia uma rápida seqüência de solicitações de Ping (um teste para verificar
se um servidor da Internet está acessível) para um endereço de broadcast.
Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe
as respostas não para o seu endereço, mas para o da vítima. Assim, o
computador-alvo é inundado pelo Ping;
• Phishing(Scamming): É um tipo de fraude em que uma pessoa mal-
intencionada cria para obter numeros de cartões de crédito, senhas e contas
de bancos, sob pretextos enganosos. Phishing scam normalmente surge por
e-mails ou janelas pop-up;
• Engenharia Social: Método de ataque onde a pessoa faz uso da persuasão,
muitas vezes abusando da ingenuidade ou confiança do usuário, para obter
informações que podem ser utilizadas para ter acesso não autorizado a com-
putadores ou informações;

25
• Hoax - Boato: Mensagem recebida por e-mail, cujo conteúdo é alarmante e
normalmente falso. Pode ser visto como um vírus social, pois utiliza a boa fé
das pessoas para se reproduzir, sendo este o seu principal objetivo.
2.6 Legislação
A legislação competente à segurança da informação desenvolveu-se ten-
do como base os textos modelos e padrões normatizadores. Adotaram-se as refe-
rências de normas já instituídas por Órgãos Oficiais, as quais criam o ambiente per-
tinente a aplicação da legislação, desta maneira há a possibilidade de adequação
mais afinada dos modelos jurídicos à realidade do campo virtual. A Internet trouxe
um novo pensamento, um novo comportamento no cenário mundial. É o que segun-
do alguns juristas denominam de sociedade da informação, na qual existe reflexão
da necessidade da existência de um marco jurídico que permita a livre circulação de
bens e serviços, além de garantir a liberdade dos cidadãos (CARTILHA, 2005;
CORRÊA, 2000).
Longo (2005, p 07) em seu trabalho, descreve que na União Européia (U-
E) várias batalhas estão sendo travadas para se chegar a um senso comum referen-
te às novas políticas de segurança na área de tecnologias de informação, onde só
pode ser assegurada por leis que permitam a regulamentação de cada país, a regu-
lamentação entre empresas privadas e públicas e inclusive entre pessoas físicas. A
título de exemplo o Conselho da Europa apresentou a última versão de um docu-
mento sobre crimes virtuais. Trata-se de um inventário com sanções penais e um
dispositivo inspirado na legislação francesa. Existe uma diretiva européia sobre o
comércio eletrônico, a qual reconhece a assinatura digital, além da proteção de da-

26
dos pessoais estarem ganhando dimensão internacional num esforço para proteger
o indivíduo.
Para comprovar que o usuário estava praticando determinado ato foi cria-
da uma certificação digital, com a aplicação da Public Key Infrastructure (PKI), infra-
estrutura de chave pública. Teve início em 1997 com conferências e iniciativas no
comércio eletrônico através da Organization for Economic Co-operation and Deve-
lopment (OECD - Organização para Cooperação e Desenvolvimento Econômico e
da General Usage for International Digitally Ensured Commerce (GUIDEC)).
Longo (2005, p 07) ainda descreve, que para a utilização da chave públi-
ca se deve obedecer aos seguintes padrões internacionais: ISO 9796, ANSI X9.31,
ITU-T x509, PACS, SWIFT.
Os países que ainda estão iniciando com as normalizações e legalizações
a respeito de segurança da informação, utilizando chaves públicas, tendem a exigir
padrões específicos de tecnologias já existentes, desta maneira conseguem uma
compatibilidade com os demais países.
De forma geral o mundo está consciente da real importância da elabora-
ção de legislações específicas a tais ambientes e encontram-se trâmites de projetos
em diversos países, havendo de tal forma uma perspectiva altamente positiva para
que num futuro breve tenha-se um sistema legislador específico e eficiente.
O Brasil atravessa uma fase difícil quanto à prática de crimes eletrônicos.
Em 2004 por algumas vezes consecutivas lideráva o ranking dos países com o maior
número de crackers do mundo, porém uma decisão judicial nacional inédita
condenou um jovem a seis anos e cinco meses de reclusão por estelionato,
cumulado com formação de quadrilha e crime contra sigilo de dados bancários no
dia 15 de abril de 2004 . O primeiro decreto condenatório por crime eletrônico no

27
Brasil foi proferido pela juíza da 3ª Vara da Justiça Federal de Campo Grande (MS),
Janete Lima Miguel (BLUM, 2004).
Objetivando tornar efetiva a participação social nas decisões de implanta-
ção, administração e uso da Internet o Ministério das Comunicações e o Ministério
da Ciência e Tecnologia, em nota conjunta de maio de 1995, optaram por constituir
um Comitê Gestor da Internet, com participação de Operadoras Telefônicas, Repre-
sentantes de Provedores, representantes de usuário e a comunidade acadêmica.
Atualmente tal comitê é uma realidade, tendo como atribuições: fomentar o desen-
volvimento de serviços ligados a Internet no Brasil; Recomendar padrões e procedi-
mentos técnicos e operacionais para a Internet no País; Coordenar a atribuição de
endereços na Internet; Coletar, organizar e disseminar informações sobre os servi-
ços ligados a internet. Este Comitê foi criado pela Portaria Interministerial nº 147, de
31 de maio de 1995 e seus integrantes foram nomeados pela Portaria Interministerial
nº 183, de 03 de julho de 1995 (CORRÊA, 2000). O Brasil dispõe de um projeto de
lei 1.713 que se refere a crimes de informática (ANEXO A - Projeto de Lei 1.713).

28
3 FERRAMENTAS DE SEGURANÇA
Na área de Informática, ferramentas de Segurança são equipamentos
e/ou Softwares capazes de identificar uma possível tentativa de ataque ou mesmo
uma invasão acontecendo em um determinado momento. Estas ferramentas são uti-
lizadas para garantir ou dificultar o acesso a um ambiente computacional de redes
corporativas ou públicas.
Dentre as ferramentas de segurança pode-se citar: Firewalls, Sistemas de
Detecção a Intrusão - IDS, HoneyPots, Criptografia e por último e mais importante de
todos são as ferramentas de logs, os quais serão discutidos no próximo tópico.
3.1 Firewalls
Define-se Firewall como uma solução, de Software e/ou Hardware para
realizar a filtragem de pacotes ou conteúdos que entram e saem de uma rede, ser-
vindo como o único ponto, ou melhor, portão de entrada e saída de rede privada da
empresa (rede interna) e a Internet (rede externa), realizando o controle de tráfego
consultando regras internas (MONTEIRO, 2003).
Conforme Medeiros (2005, p 38) pode-se dizer que firewall é um conceito
ao invés de um produto. Ele é a soma de todas as regras aplicadas a rede. Geral-
mente, essas regras são elaboradas considerando as políticas de acesso da organi-
zação.
Embora os firewalls garantam uma maior proteção e são imprescindíveis
para segurança da informação, existem alguns ataques que os firewalls não podem
proteger, como a interceptação de tráfego não criptografado, por exemplo, a inter-

29
ceptação de e-mail. Além disso, embora os firewalls possam prover um único ponto
de segurança e auditoria, eles também podem se tornar um único ponto de falha - o
que quer dizer que os firewalls são a última linha de defesa. Significa que se um ata-
cante conseguir quebrar a segurança de um firewall, ele vai ter acesso ao sistema, e
pode ter a oportunidade de roubar ou destruir informações. No caso de funcionários
mal intencionados, os firewalls não garantem muita proteção. Finalmente, como
mencionado os firewalls de filtros de pacotes são falhos em alguns pontos. As técni-
cas de Spoofing podem ser um meio efetivo de anular a sua proteção.
Para uma proteção eficiente contra as ameaças de segurança existentes,
os firewalls devem ser usados em conjunto com diversas outras medidas de segu-
rança.
3.1.1 De acordo com os mecanismos de funcionamentos cita-se os seguintes
firewalls:
• Filtro de Pacotes - controla a origem e o destino dos pacotes de mensagens
da Internet. Quando uma informação é recebida, o firewall verifica as informa-
ções sobre o endereço IP de origem e destino do pacote e compara com uma
lista de regras de acesso para determinar se o pacote está autorizado ou não
para ser repassado através dele.
• Statefull Firewalls - utiliza uma técnica chamada Stateful Packet Inspection,
que é um tipo avançado de filtragem de pacotes. Esse tipo de firewall exami-
na todo o conteúdo de um pacote, não apenas seu cabeçalho, que contém
apenas os endereços de origem e destino da informação. Ele é chamado de
‘stateful’ porque examina os conteúdos dos pacotes para determinar qual é o

30
estado da conexão, ou seja, ele garante que o computador destino de uma in-
formação tenha realmente solicitado anteriormente a informação através da
conexão atual. Além de serem mais rigorosos na inspeção dos pacotes, os
stateful firewalls podem ainda manter as portas fechadas até que uma cone-
xão para a porta específica seja requisitada. Isso permite uma maior proteção
contra a ameaça de port scanning.
• Nível de Aplicação - neste tipo de firewall o controle é executado por aplica-
ções específicas, denominadas proxies, para cada tipo de serviço a ser con-
trolado. Essas aplicações interceptam todo o tráfego recebido e o envia para
as aplicações correspondentes, assim, cada aplicação pode controlar o uso
de um serviço. Apesar deste tipo de firewall ter uma perda maior de perfor-
mance, já que ele analisa toda a comunicação utilizando proxies, ele permite
uma maior auditoria sobre o controle no tráfego, já que as aplicações especí-
ficas podem detalhar melhores os eventos associados a um dado serviço.
3.2 IDS - Sistema de Detecção de Intrusão
Conforme Monteiro (2003, p. 50), define IDS como uma ferramenta inteli-
gente capaz de detectar tentativas de invasão e tempo real. Estes sistemas podem
atuar de forma a somente alertar as tentativas de invasão, como também em forma
reativa, aplicando ações necessárias contra o ataque.
Estas ferramentas monitoram seus servidores e sua rede analisando tudo
o que acontece, que tipo de tráfego está circulando e que eventos ocorrem dentro da
rede. Determinados IDSs, utilizam recursos de inteligência artificial para prever e de-
tectar comportamentos que podem ser ataques e notificar os Administradores de
Redes.

31
Os sistemas mais populares de IDS são Snort, Enterasys Intrusion Detec-
tion, Dragon Network Sensor, Dragon Host Sensor, NFR Security, ISS, Tripiware,
AID e outros.
3.2.1 Em função das técnicas com que os IDSs reconhecem um ataque cita-se
dois tipos :
• Sistemas Baseados em Regras: Esse tipo é baseado em bibliotecas ou bases de
dados que contenham assinaturas dos ataques. Quando algum tráfego coincide
com um critério ou regra, ele é marcado como sendo uma tentativa de intrusão. A
maior desvantagem dessa técnica é a necessidade de se manter a base de da-
dos constantemente atualizada, e além de que essa técnica somente identifica os
ataques conhecidos. Além disso, às vezes, pode existir uma relação inversa en-
tre a especificação da regra e sua taxa de acerto. Isto é, se uma regra for muito
específica, ataques que sejam similares, mas não idênticos, não serão reconhe-
cidos.
• Sistemas Adaptáveis: Esse tipo emprega técnicas mais avançadas, incluindo in-
teligência artificial, para reconhecer novos ataques e não somente ataques co-
nhecidos através de assinaturas. As principais desvantagens dos sistemas adap-
táveis são o seu custo muito elevado e a dificuldade no seu gerenciamento, que
requer um grande conhecimento matemático e estatístico.

32
3.2.2 Além das técnicas, os IDSs são classificados em dois principais tipos:
• NIDS - Sistema de Detecção de Intrusão de Redes: Nesse tipo de IDS os ata-
ques são capturados e analisados através de pacotes de rede. Ouvindo um
segmento de rede, o NIDS pode monitorar o tráfego afetando múltiplas esta-
ções que estão conectadas ao segmento de rede, assim protegendo essas
estações. Os NIDSs também podem consistir em um conjunto de sensores ou
estações espalhados por vários pontos da rede. Essas unidades monitoram o
tráfego da rede, realizando análises locais do tráfego e reportando os ataques
a um console central. As estações que rodam esses sensores devem estar
limitadas a executar somente o sistema de IDS, para se manterem mais segu-
ras contra ataques. Muitos desses sensores rodam num modo chamado “ste-
alth”, de maneira que torne mais difícil para o atacante determinar as suas
presenças e localizações.
• HIDS - Sistemas de Detecção de Instrução de Host: Os HIDSs operam sobre
informações coletadas em computadores individuais. Através disso os HIDs
podem analisar as atividades das estações com confiança e precisão, deter-
minando exatamente quais processos e usuários estão envolvidos em um tipo
particular de ataque no sistema operacional. Além disso, ao contrário dos sis-
temas baseados em rede, os baseados em host (estação) podem ver as con-
seqüências de uma tentativa de ataque, como eles podem acessar diretamen-
te e monitorar os arquivos e processos do sistema, usualmente são alvos de
ataques.
Alguns HIDSs suportam um gerenciamento centralizado e relatórios
que podem permitir que apenas um console possa gerenciar várias estações.

33
Outros geram mensagens em formatos que são compatíveis com os sistemas
de gerenciamento de redes.
3.3 HoneyPots - Pote de Mel
As primeiras experiências na área datam de 1988, quando o especialista
Clifford Stoll faz um relato completo sobre a história da invasão (origem do ataque,
motivos e redes-alvo) nos sistemas do Lawrence Berkeley Laboratory (LBL).
Quatro anos depois, em 1992, seria a vez do especialista Bill Cheswick explicar no
artigo "An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied"
os resultados do acompanhamento de invasões em um dos sistemas da AT&T, pro-
jetado especialmente para este fim.
O termo honeypot só surgiria em meados de 1998, quando Fred Cohen
desenvolveu a ferramenta Detection Toolkit (DTK), a primeira utilizada para "emula-
ção de diversas vulnerabilidades e coleta de informações sobre os ataques sofridos".
Mas é em 1999, quando um grupo de especialistas em segurança da in-
formação liderado por Lance Spitzner lança o Honeynet Project - uma rede projetada
exclusivamente para ser comprometida por ataques, que o conceito de honeynets
ganha repercussão mundial e demonstra a importância do estudo do comportamento
dos invasores de uma rede para o desenvolvimento de novas ferramentas e siste-
mas de defesa (ROCHA, 2004).
HoneyPot é uma ferramenta de estudo de segurança onde sua função
principal é colher informações do atacante, criando hosts virtuais. Os hosts virtuais
podem ser configurados para rodar serviços arbitrários, e suas “personalidades” po-
dem ser adaptadas para que pareçam executar um sistema operacional específico,
fazendo com que o atacante pense ser uma máquina alvo.

34
Ao contrário de um Firewall ou de um IDS, os HoneyPots não resolvem
um problema específico. Um honeypot é uma ferramenta que contribui com a total
arquitetura da segurança de uma corporação, seja ela pública ou privada. Os valores
dos dados fornecidos por um HoneyPot, são de muita importância para um adminis-
trador de redes e/ou servidores, para que o mesmo avalie e tome medidas de segu-
rança para sua rede ou seu ambiente computacional (LAFETÁ, 2005).
HoneyPot é um recurso de segurança preparado especificamente para
ser sondado, atacado ou comprometido e para registrar essas atividades, simulando
Sistemas Operacionais virtuais. O HoneyNet (Rede de Roneypot’s) é uma rede pro-
jetada especificamente para ser comprometida e utilizada para observar os invaso-
res. É uma rede projetada especificamente para ser comprometida e utilizada para
observar os invasores. Essa rede normalmente é composta por sistemas reais e ne-
cessita de mecanismos de contenção eficientes e transparentes, para que não seja
usada como origem de ataques e também não alertar o invasor do fato de estar em
uma honeynet eficiente e transparente, para que não seja usada como origem de a-
taques e também não alertar o invasor do fato de estar em uma honeynet.
3.3.1 Tipos de HoneyPots
• Honeypots de baixa interação (Low-interaction Honeypots): normalmente a-
penas emulam serviços e sistemas operacionais, não permitindo que o ata-
cante interaja com o sistema;
• Honeypots de alta interação (High-interaction Honeypots): são compostos por
sistemas operacionais e serviços reais e permitem que o atacante interaja
com o sistema.

35
3.5 Criptografia
A criptografia é a arte ou ciência de escrever em cifras ou em códigos, de
forma que somente o destinatário a decifre ou compreenda. A origem desta palavra
é grega e tem como significado "escrever escondido" (kryptos = escondido, oculto e
graphia = grafia, escrita), ou seja, nada mais é que codificar dados em informações
para que somente pessoas habilitadas possam ter acesso as mesmas. Em outras
palavras, criptografar significa transformar uma mensagem em outra, transformando
textos originais em textos cifrados ou em código. Para isso, é usada geralmente uma
senha especial, chamada de chave.
Este método é bastante antigo, pois já esteve presente no sistema de es-
crita hieroglífica dos egípcios, nos planos de batalha dos romanos, que utilizavam
códigos secretos para se comunicarem e foi bastante explorado pelos ingleses após
a Segunda Guerra Mundial para a decifração dos códigos.
Hoje, com o avanço da computação, a criptografia se tornou uma parte
indispensável da segurança moderna. Muitas empresas utilizam deste método para
proteger dados e/ou informações confidenciais, pois assim, somente pessoas autori-
zadas estão aptas a receber estas informações, mantendo sigilo na comunicação
dos dados.
"O único método disponível que oferece proteção tanto no armazenamen-
to, quanto no transporte de informações por uma rede pública ou internet é a cripto-
grafia”.(SANTOS, 2005).
E com o aumento da capacidade computacional, pode-se utilizar comple-
xos esquemas criptográficos, que antes eram impraticáveis pela demora com as
quais eram codificadas pequenas informações. E, além da capacidade técnica, pos-

36
suímos algumas características que a faz se subdividir em dois grandes grupos: crip-
tografia de chave simétrica e criptografia de chave assimétrica.
3.5.1 Criptografia Simétrica
A criptografia simétrica é aquela em que a mesma chave utilizada na codi-
ficação deve ser também utilizada na decodificação, sendo assim caracterizada co-
mo método tradicional. Alguns exemplos de algoritmos que implementam este tipo
de criptografia seriam o IDEA (International Data Encryption Algorithm), o DES (Data
Encryption Standard) da IBM e o RC2/4 da RSA Data Security.
Mesmo apresentando alguns problemas, a criptografia simétrica é bastan-
te eficiente em conexões seguras na internet, onde processos computacionais tro-
cam senhas temporárias para algumas transmissões críticas e/ou importantes.
Este método está presente no dia a dia das pessoas, mesmo sem imagi-
nar, pois quando você navega pela internet e visita sites ditos "seguros", onde ge-
ralmente são preenchidos dados sigilosos, você está utilizando o SSL (Secure Soc-
kets Layer) que funciona a base de criprografia simétrica, muito provavelmente DES
ou algo RSA.
3.5.2 Criptografia Assimétrica
Diferente da criptografia simétrica que utiliza apenas uma chave, na crip-
tografia assimétrica são usadas duas chaves ligadas matematicamente, sendo uma
usada para criptografar a mensagem e a outra para descriptografar.

37
Neste método, uma das duas chaves é mantida em segredo e referencia-
da como chave privada, ou seja, sua privacidade é crucial, já que a mesma é consi-
derada a identidade do seu proprietário. Neste caso, tanto o emissor quanto o recep-
tor utilizam a mesma mensagem privada sem que ninguém descubra.
Já a outra chave, denominada chave pública, é disponível para todos.
Qualquer pessoa pode enviar uma mensagem confidencial apenas utilizando esta
chave, porém, esta mesma mensagem só poderá ser descriptografada com a chave
privada do destinatário.
Os sistemas assimétricos geralmente não são tão eficientes computacio-
nalmente quanto os simétricos. Eles normalmente são utilizados em conjunção com
sistemas simétricos para fornecer facilidades de distribuição da chave e capacidade
de assinatura digital (SANTOS, 2005; CRIPTOGRAFIA, 2005; HISTORIA, 2005).
3.6 Ferramentas de Logs
Por padrão os logs são armazenados localmente em cada equipamento,
muitas vezes o sistema nem mesmo está configurado para gerar as mensagens de
log. Os logs distribuídos em várias máquinas podem tornar o trabalho de auditoria
dos registros complicado, além disso, se um equipamento for comprometido por uma
invasão ou por problemas físicos (periféricos) seus registros podem ser perdidos.
O ideal é manter um servidor somente com a função de armazenar os logs de todos
os equipamentos, criando uma estrutura centralizada, aumentando a segurança e
facilitando o trabalho de verificação. Nesta linha de raciocínio, o ideal é adicionar um
novo servidor com a função específica de centralizar os logs. Esse novo servidor uti-
liza um programa que é compatível com o padrão Syslog do Unix. Todos servidores,
e os equipamentos que possuem o serviço de log, devem ser configurados para en-

38
viar as suas mensagens ao servidor de logs ao invés de mantê-las localmente. Por
sua vez, o servidor de logs filtra essas mensagens e as armazena de acordo com a
sua classificação, facilitando o trabalho de auditoria.

39
4 ESTUDO DE CASO
4.1 Pesquisa de Incidentes - CERT
Pesquisa realizada no principal site brasileiro CERT - Centro de Estudos,
Resposta e Tratamento de Incidentes de Segurança no Brasil, que recebe notifica-
ções sobre incidentes de segurança na Internet, mostra com base em dados obtidos
por estas notificações, que o Brasileiro está mais acuado, por medidas de segurança
tomadas por algumas empresas e por produtos de segurança cada vez mais com-
pletos, para impedir, detectar e documentar uma tentativa ou mesmo um ataque.
Analisando a tabela referente às notificações de 2004, tem-se que o ata-
que mais significativo foi o de Worm que atingiu 56% dos ataques notificados ao
CERT, já em comparativo com o ano de 2005 até o presente momento, o ataque que
mais se sobressaiu foi o de fraude com 18% de janeiro a março de 2005 passou a
45% em abril a junho de 2005 com os ataques de Scaming, que é a técnica que visa
roubar senhas e números de contas de clientes bancários enviando um e-mail falso
oferecendo um serviço na página do banco, este é o tipo de fraude mais comum no
Brasil, conforme estatísticas do CERT. As tabelas 1 e 2 relacionadas abaixo estão
abreviando Af para Ataque ao usuário final, Dos para Denial of Service e Aw para
ataque a servidor Web.
Tabela 1 – Ataques reportados ao CERT em 2004
Mês Worm Af Dos Invasão Aw Scan Fraude Total
Janeiro 3013 39 6 9 55 2481 283 5886
Fevereiro 2306 53 4 13 22 3542 170 6110
Março 2653 37 19 56 32 2862 343 6002
Abril 2496 36 2 14 81 1946 188 4763
Maio 2260 38 2 19 58 2913 181 5471

40
Junho 3752 24 3 6 26 2498 193 6502
Julho 4636 18 2 7 49 1791 270 6773
Agosto 3221 26 5 22 71 2194 371 5910
Setembro 2997 56 4 13 52 1704 341 5167
Outubro 8821 23 51 13 29 1937 379 11253
Novembro 4599 10 1 40 39 1888 572 7149
Dezembro 1513 46 5 36 10 2402 724 4736
Fonte: CERT/2004
IncidentesReportadosaoCERT2004
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
jan fev m ar abr m ai jun jul ago set out nov dez
Worm
Af
Dos
Inv asão
Aw
Scan
Fraude
Novamente observando as tabelas do CERT, vê-se que em outubro de
2004 ocorre o maior número de incidentes de Worms, cerca de 90,27 % a mais que
em julho, onde se dá o segundo maior índice de incidentes por Wom no ano de
2004. Verificamos que os worms mais ameçadores no ano de 2004 conforme lista
divulgada pela Mcafee descrito em Grupos (2005) são: w32/bagle, w32/mydoom,
w32/netsky, w32/sasser y w32/sdbot. Verificando no site da Mcafee nota-se que os
Worms W32/Bagle e suas duas variantes (bb@mm e bd@mm) e
W32/Netsky.ag@mm foram descobertos no mês de outubro, por isto a alta de inci-
dentes neste mês.
Tabela 2 – Ataques reportados ao CERT até junho de 2005
Janeiro 1019 16 0 14 22 2694 683 4448
Fevereiro 1157 5 1 27 57 1433 462 3142

41
Março 1906 1 2 42 24 1805 1068 4848
Abril 1432 17 0 20 25 1437 2322 5253
Maio 2175 4 2 34 22 1489 3157 6883
Junho 1510 0 5 17 55 1356 2463 5406
Fonte: CERT/2005
Incidentes Reportados ao CERT 2005
0
500
1000
1500
2000
2500
3000
3500
jan fev m ar abr m ai jun
W orm
Af
Dos
Invasão
Aw
Scan
Fraude
Analisando mais uma vez os dados obtidos nas estatísticas do CERT, ve-
rifica-se que as portas mais visadas por atacantes de janeiro a março e abril a junho
de 2005 respectivamente conforme gráficos são:
Fonte: Incidentes CERT http://www.nbso.nic.br/stats/incidentes/

42
Nas imagens mostradas acima se vê uma grande quantidade de scan na
porta 22/tcp acredita-se ser para verificar a versão do serviço de ssh, já que confor-
me o documento do NIC BR Security Office de 16/11/2001, este documento relata
uma falha de segurança nas versões do OpenSSH menores que 2.3.0 e do ssh.com
da versão 1.2.24 à 1.2.31, onde descreve que se o atacante explorar esta falha com
sucesso, o mesmo obterá acesso de Superusuário (VULNERABILIDADE, 2005).
4.2 Pesquisa de Incidentes - HoneyPot
O experimento foi feito com Honeypot de baixa interação (Low-interaction
Honeypots), onde apenas emulam serviços e sistemas operacionais, não permitindo
que o atacante interaja com o sistema. Os números de ips registrados de tentativas
de conexão não permitidas descritos nas tabelas abaixo são considerados verídicos,
pois os números de ips do micro utilizado no experimento HoneyPOT, não fica divul-
gado, somente um indivíduo que fica do lado de fora da rede em questão e que fica
observando a mesma com ferramentas de rastreamento específica, consegue detec-
tar esta maquina na rede externa (WAN).
Para criar o ambiente utiliza-se um micro computador celeron 1.7GHz
com 256Mb RAM e 40Gb de disco rígido, o Sistema Operacional utilizado foi o Red
Hat Enterprise 3 release com Kernel 2.4.21-4.EL, nele instalamos o HoneyPot ver-
são 1.0. Neste ambiente cria-se 3 (três) sistemas operacionais virtuais: Windows XP
Professional, Linux 2.4.16 e Windows 98. Neste ambiente virtual com uma placa de
rede é possível criar com uma placa de rede vários IPs cada qual apontando para
seu respectivo sistema operacional fictício. Abaixo se demonstra a relação de portas
que foram abertas propositadamente para que sejam colhidas informações.

43
Tabela 3 – Sistemas Operacionais/Portas Liberadas
Windows® XP Linux 2.4.16 Windows® 98
Portas Portas Portas
80/tcp 110/tcp 138/tcp
138/tcp 3127/tcp
139/tcp 3128/tcp
137/tcp 10080/tcp
137/udp 137/tcp
135/tcp 135/tcp
As portas foram escolhidas aleatoriamente com o intuito de aumentar a
quantidade de dados obtidos na pesquisa, não pretendendo verificar qual Sistema
Operacional é mais visado por Hackers/Crackers e sim qual o serviço (porta) mais
visado, na tentativa de descobrir alguma relação com de falhas de segurança descri-
tas nos sites de segurança ou a criação de alguma ferramenta automatizada para tal
propósito. A tabela abaixo descreve quais Sistemas Operacionais criados no expe-
rimento de honeypot e seus respectivos números IP’s.
Tabela 4 – Sistemas Operacionais e seus IP’s
HONEYPOT
Ordem Número IP Connections
1 201.x.yyy.49 Linux
2 201.x.yyy.50 Não Configurado
3 201.x.yyy.51 Windows 98
4 201.x.yyy.53 Windows XP
A tabela apresentada acima descreve como ficam ordenados os Sistemas
Operacionais “virtuais” e seus respectivos endereços de rede, desta forma se pode
entender qual honeypot com maior interesse dos invasores. Esta análise está co-
mentada a seguir.

44
Gráfico 4.2.1
Nesta etapa observa-se, pela Tabela 4, que o Sistema Operacional prefe-
rido na tentativa de invasão foi o Windows 98, pela quantidade de portas abertas e
por sua fragilidade no quesito segurança, conforme o gráfico 4.2.1.
Verifica-se também, que no ambiente operacional linux, conforme a Tabe-
la 4, as principais portas com maior tentativa de acessos foram: 135/tcp, 139/tcp,
80/tcp e 1080/tcp respectivamente, conforme o gráfico 4.2.2.
Gráfico 4.2.2
Tabela 5 – Número de conexões por portas Abertas
HONEYPOT: 201.x.yyy.49 – Linux
Ordem Endereço IP Porta Conexões
1 61.126.208.105 137/udp 1
2 62.0.93.84 3127/tcp 3

45
HONEYPOT: 201.x.yyy.49 – Linux
3 84.130.58.58 21/tcp 2
4 193.138.232.18 1080/tcp 2
5 193.138.232.60 1080/tcp 3
6 200.229.157.150 135/tcp 3
7 201.1.74.139 135/tcp 1
8 201.1.150.79 135/tcp 3
9 201.1.160.21 139/tcp 2
10 201.1.164.207 135/tcp 3
11 201.2.38.183 139/tcp 3
12 201.2.141.100 80/tcp 6
13 201.2.147.7 80/tcp 3
14 201.2.151.83 80/tcp 2
15 201.13.115.254 135/tcp 3
16 201.153.137.193 135/tcp 1
17 201.226.180.48 135/tcp 3
18 220.176.205.201 139/tcp 3
19 221.194.94.6 139/tcp 3
Já no ambiente operacional Windows 98 conforme a Tabela 4, referenci-
ando o gráfico 4.2.3, as principais portas com mais tentativas de acesso foram:
1080/tcp, 135/tcp, 139/tcp e 80/tcp respectivamente.
Gráfico 4.2.3
Tabela 6 – Numero de conexões por portas abertas
HONEYPOT: 201.x.yyy.51 – Windows 98
1 62.0.93.84 3127/tcp 1
2 193.138.232.18 1080/tcp 3
3 193.138.232.23 1080/tcp 16
4 193.138.232.60 1080/tcp 3
5 200.154.203.69 139/tcp 4

46
HONEYPOT: 201.x.yyy.51 – Windows 98
6 200.229.157.150 135/tcp 3
7 201.1.74.139 135/tcp 1
8 201.1.150.79 135/tcp 3
9 201.1.164.207 135/tcp 3
10 201.2.36.200 139/tcp 2
11 201.2.38.183 139/tcp 2
12 201.2.80.7 80/tcp 3
13 201.2.151.83 80/tcp 2
14 201.2.186.23 80/tcp 2
15 201.7.35.188 135/tcp 2
16 201.13.185.174 135/tcp 1
17 201.30.179.40 80/tcp 3
18 201.130.166.237 135/tcp 3
19 201.137.113.84 135/tcp 2
20 201.137.214.2 135/tcp 3
21 205.209.161.59 1080/tcp 31
22 205.209.184.160 1080/tcp 30
23 220.176.205.201 137/udp 2
Em contrapartida o ambiente operacional Windows XP teve suas portas:
139/tcp, 135/tcp, 1080/tcp e 80/tcp respectivamente com tentativas de acesso não
autorizado, conforme gráfico 4.2.3.
Gráfico 4.2.4
Tabela 7 – Numero de conexões por portas abertas
HONEYPOT: 201.x.yyy.53 – Windows XP
1 62.0.93.84 3127/tcp 3
2 169.254.207.108 139/tcp 1
3 193.138.232.18 1080/tcp 4
4 193.138.232.60 1080/tcp 3

47
HONEYPOT: 201.x.yyy.53 – Windows XP
5 200.211.217.161 139/tcp 1
6 200.229.157.150 135/tcp 3
7 201.1.150.79 135/tcp 3
8 201.1.160.21 139/tcp 3
9 201.2.36.200 139/tcp 6
10 201.2.38.183 139/tcp 2
11 201.2.38.225 135/tcp 3
12 201.2.170.223 80/tcp 2
13 201.2.186.23 80/tcp 3
14 201.133.233.243 135/tcp 3
15 201.137.27.163 135/tcp 3
16 201.138.118.222 135/tcp 1
17 201.153.15.70 80/tcp 1
18 201.254.1.247 139/tcp 4
19 219.133.247.80 25/tcp 1
20 220.176.205.201 137/udp 2
Analisando os resultados apresentados acima, nota-se uma preferência
na porta 135/tcp em todos os sistemas operacionais, principalmente o da Microsoft,
o motivo se dá a um problema de segurança na interface DCOM (Distribuited Com-
ponent Object Model) que trabalha com a porta 135/tcp, conforme o Boletim de Se-
gurança da Microsoft MS03-026. A classificação deste problema é crítica e afeta os
sistemas operacionais Windows NT 4.0, Windows NT 4.0 Terminal Server Edition,
Windows 2000, Windows XP e Windows Server 2003. Esta vulnerabilidade é do tipo
saturação de buffer e um invasor que explora com sucesso tal vulnerabilidade pode
obter controle completo sobre o computador remoto. O W32.Blaster.Worm é uma
exemplo de ferramenta automatizada para explorar este tipo de vulnerabilidade
(RODRIGUES, 2005; BOLETINS, 2005). Os sistemas operacionais não afetados
são: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me (CVE:
CAN-2003-0352).
Uma outra observação que deve ser exposta sobre a quantidade de tenta-
tivas de acesso à porta 139/tcp é que nos sistemas operacionais Windows NT e

48
Windows 2000 encontra-se uma falha na segurança do mecanismo de SMB (Serve
Message Block) que permite compartilhar arquivos e também podem ser utilizados
por atacantes para obter informações sensíveis dos sistemas Windows conforme
documento (CVE-1999-0366). Esta vulnerabilidade também pode ser apresentada
em sistemas operacionais Macintosh e Unix, se habilitarem o compartilhamento de
arquivos. A configuração incorreta do SMB pode expor arquivos críticos do sistema
ou permitir acesso completo do sistema a qualquer usuário hostil conectado à Inter-
net.
Além destas observações feitas acima verifica-se nos gráficos 4.2.2, 4.2.3
e 4.2.4 que a porta 1080/tcp foi bastante visada, principalmente no windows 98, já
que o software de honeypot emula uma infecção com o W32/Bugbear.b@MM e abre
uma porta para conexão 1080/tcp. No linux tem-se algumas tentativas, provavelmen-
te por saber que existe um exploit (ferramenta automatizada que explora uma vulne-
rabilidade) para o Squid, nas versões inferiores e iguais a 2.2, conforme anunciou a
securiteam.com no dia 27/10/1999. Tal vulnerabilidade na autenticação do Squid
Web Proxy Cache faz o usuário malicioso ter acesso a locais privilegiados.

49
5 CONCLUSÃO
Apesar de todos os esforços em se obter algum resultado na comparação
dos dados do CERT com os do HoneyPot, tendo assim uma idéia ou uma lógica de
tentativas de ataques/scan, não se conseguiu atingir os objetivos em sua totalidade,
contudo, verifica-se que no espaço de tempo em que a maquina utilizada no experi-
mento foi posta na internet, no período de 30/06/2005 à 29/08/2005 sofreu 333 co-
nexões no total, sendo que 326 foram TCP e 7 foram UDP, com isto se nota o quan-
to se esta exposto e sempre se estará sendo “espionado” do lado de fora da rede
(internet), a procura de um alvo vulnerável sem alarmes ou trancas de segurança.
Numa verificação mais minuciosa, entende-se que cada vez mais os ata-
cantes utilizam ferramentas pré-prontas, os exploits, para agilizar um ataque. Estas
são ferramentas que tem por objetivo explorar uma ou mais vulnerabilidades de um
Sistema, Software ou Protocolo, com o objetivo de causar a inoperabilidade ou a ob-
tenção de privilégios dos mesmos.
Vale lembrar que para uma empresa e toda sua rede de computadores
que possuem ligação com o mundo exterior que é a internet, existe a necessidade
de não só uma ferramenta de firewall e sim todo um projeto de segurança de infor-
mação para esta empresa, não protegendo apenas dos perigos que vêm da internet,
mas de todo o lado da rede que passa por olhos curiosos.
Nesta monografia se proporciona uma visão, de que um simples software
ou Sistema Operacional vulnerável por estar desatualizado, pode causar danos irre-

50
paráveis dentro de uma empresa. Nota-se que as empresas na sua grande maioria
não se atentam ao tamanho valor da área de segurança em sua empresa.
Este trabalho esclarece que o Brasil possui em sua grande maioria ata-
cantes que procuram ferramentas prontas, que exploram a vulnerabilidade de um
determinado software ou Sistema Operacional e a solução deste é mantê-los sempre
atualizados.

51
REFERENCIAS
BANRISUL. Agencia Virtual. Disponível em:
http://ww3.banrisul.com.br/internet/bfqzbe2bt.nsf/anexdir/tipos+de+ataque?opendocu
ment. Acessado em: 22 ago. 2005.
BITTENCOURT, Guilherme. Computação e Computador, São Paulo. Disponível em:
http://www.das.ufsc.br/gia/computer/node8.html. Acessado em: 12 jul. 2005.
BLUM, Renato O.; ABRUSIO, Juliana C. Os crimes eletrônicos e seus enquadra-
mentos legais. Gazeta Mercantil, Rio de Janeiro, abril de 2004. Disponível em :
http://www.cbeji.com.br/br/novidades/artigos/main.asp?id=2697 .Acessado em: 19
jul. de 2005.
BOGO, Kelen C. História da Internet – Como Tudo Começou. Disponível em :
http://kplus.cosmo.com.br/materia.asp?co=11&rv=Vivencia. Acessado em: 14 jul.
2005.
BOLETINS de segurança. Disponível em:
http://www.microsoft.com/brasil/technet/Boletins/BoletinsMS03_26.aspx. Acessado
em: 26 ago. 2005.
CARTILHA de Segurança da Internet. Terra Networks S.A. Disponível em:
http://www.terra.com.br/informatica/especial/cartilha/. Acessado em: 17 jul. 2005.
CORRÊA, Gustavo Testa. Aspectos Jurídicos da Internet. São Paulo: Saraiva,
2000. 135p.
CRIPTOGRAFIA – método simétrico e assimétrico. UNICAMP – Computer Security
Incident Response Team. Disponível em:
http://www.security.unicamp.br/docs/conceitos/o2.html. Acessado em: 07 ago. 2005.

52
GRUPOS criam 150 vírus por semana. Disponível em: http://www.pocos-
net.com.br/Noticia.asp?id=5496 . Acessado em: 11 ago. 2005.
HENRIQUE, Geraldo. Glossário de Segurança. Portal de Informática. Disponível em:
http://www.portaldeinformatica.com.br/seguranca_glossario.htm. Acessado em: 18
jul. 2005.
HISTORIA e aplicações da criptografia. Disponível em:
http://www.absoluta.org/cripty/cripty_h.htm. Acessado em: agosto de 2005.
KLER, Evelyn R.; PRADO Gelson. Segurança de Redes – Sistema de Detecção de
Intrusão. Curitiba, 2004. Disponível em :
www.laureano.eti.br/ensino/orientacoes/facinter_2004_evelyn_ids.pdf. Acessado em:
21 jul. 2005.
LAFETÁ, Alessandra Valle; ARRUDA Jiuliano Macedo. Implementação de um Ho-
neypot como parte de um projeto de Honeypots distribuídos e análise estatísticas de
ataques a rede da UNB, Jan. 2005. Disponível em:
www.redes.unb.br/PFG.132004.pdf. Acessado em: 03 ago. 2005.
LONGO, Gustavo D. Segurança da Informação. 2005. 08f. Artigo Científico (Bacha-
relado em Sistemas de Informação). Universidade Estadual Paulista, Bauru.
MEDEIROS, Carlos D. R. Segurança da Informação – Implantação de Medidas e
Ferramentas de Segurança da Informação. Disponível em:
www.linuxsecurity.com.br/info/general/TCE_Seguranca_da_Informacao.pdf. Acessa-
do em: 05 ago. 2005.
MELO, Sandro. Exploração de Vulnerabilidades em Redes TCP/IP. Rio de Janei-
ro: Alta Books, 2004. 213p.
MISAGHI, Mehran. O Papel da Cricptografia na Segurança da Informação. Universi-
dade Federal de Itajubá. SECOMP – Seminário em Computação de Itajubá de 2003.
Arquivo Unifei.ppt (1,5Mbytes) 58 slides.

53
MONTEIRO, Emiliano S. Segurança em Ambientes Corporativos. VisualBooks E-
ditora, 2003. 189p.
PAGEZINE MegaStore. Disponível em :
http://www.pagezine.com.br/modules/wordbook/entry.php?entryID=325. Acessado
em: 21 jul. 2005.
PEREIRA, Critiane. Implantação de Políticas e Procedimentos de Segurança em
Ambientes Internet, Universidade Federal de Brasília, Centro de Tecnologia de Soft-
ware de Brasília. Disponível em:
www.sebraepb.com.br:8080/bte/download/InformáticaSegurança das Informa-
ções/92_1_arquivo_segInternet.pdf. Acessado em: 04 ago. 2005.
PUTTINI, Prof. MSc. Ricardo S. Segurança de Redes, Brasília. Disponível em:
http://www.redes.unb.br/security/introducao/main_introducao.htm. Acessado em: 17
jul. 2005.
ROCHA, Luis F. Um retrato dos incidentes de segurança no primeiro trimestre de
2004, abr. 2004. Disponível em: http://www.nbso.nic.br/docs/reportagens/2004/2004-
07-12a.html. Acessado em: 20 jul. 2005.
ROCHA, Luis F. Honeynet: Eficácia no Mapeamento das Ameaças Virtuais, jun.
2004. Disponível em: http://www.honeynet.org.br/press/2003/2003-06-24.html. Aces-
sado em: 03 ago. 2005.
RODRIGUES, Giordani. Vírus blaster explora falha recente do windows. Disponível
em: http://informatica.terra.com.br/interna/0,,OI131136-EI559,00.html. Acessado em:
02 set. 2005.
SANTOS, Luiz Carlos. Como funciona a criptografia. Disponível em :
http://www.clubedasredes.eti.br/rede0009.htm. Acessado em: 14 ago. 2005.
SEGURANÇA Biométrica. FingerSec do Brasil Ltda. Disponível em:
http://www.fingersec.com.br/biometria.asp. Acessado em: 18 jul. 2005.

54
SHIREY, R. RFC2828 – Interney Security Glossary. GTE / BBN Technologies, mai.
2000. Disponível em : http://www.faqs.org/rfcs/rfc2828.html. Acessado em: 20 jul.
2005.
VULNERABILIDADE remota no sshd sendo amplamente explorada, NIC BR Security
Office. Disponível em: http://www.nic.br/grupo/alerta_sshd_nov_01.htm. Acessado
em: 05 set. 2005.

55
GLOSSÁRIO
Backup – Cópia de segurança que se faz em determinados arquivos para garantir a
recuperação do mesmo em caso de perda.
Sites – Documento publicado na internet para publicar informações ou produtos, são
conhecidos também por páginas ou homepages.
Ftp – (File Transfer Protocol) Protocolo de transferência de arquivos. Permite buscar
e armazenar arquivos entre computadores.
Ssh – Ferramenta utilizada para acessar remotamente um computador, onde os da-
dos que trafegam nesta comunicação entre computadores estão criptografados.
Telnet – Ferramenta para acessar remotamente um computador sem sigilo no tráfe-
go de informações entre computadores conectados.
Web Server – Computador dedicado a servir paginas (home pages) à usuários da in-
ternet.
DNS – Computador dedicado a servir nomes de domínios, para que usuários achem
seus computadores pela identificação de rede.
Mail Server – Computador dedicado a servir e gerenciar endereços de correio ele-
trônicos.
Log – Relatórios de situações ou de rotinas específicas, úteis para recupe-
rar/diagnosticar informações sobre o computador.
Hub – Equipamento usado para conectar e distribuir comunicação entre computado-
res diz-se que é somente um prolongador de conexões e não gerência a comunica-
ção entre os computadores.
Switch – Equipamento com “inteligência” usado para conectar e distribuir comunica-
ção entre computadores ou redes de computadores.
Sniffers – Softwares utilizado para obter informações que trafegam pela rede.

56
Broadcast – Enviar um pacote (mensagem) para todos os computadores da rede
Criptografia – arte ou ciência de escrever em cifras ou em códigos, de forma que
somente o destinatário a decifre ou compreenda.
Squid – Equipamento ou Software que faz a comunicação entre computadores com
rede interna (intranet) e externa (internet).

57
ANEXO A - Projeto de Lei 1.713
No Brasil Projeto de Lei 1.713 - Substitutivo - versão final - Dez. Dispõe
sobre os crimes de informática e dá outras providências.
O Congresso Nacional decreta:
DO USO DE INFORMAÇÕES DISPONÍVEIS EM COMPUTADORES OU REDES DE
COMPUTADORES
Art. 3º. Para fins desta lei, entende-se por informações privadas aquela relativa a
pessoa física ou jurídica identificada ou identificável.
Parágrafo Único: É identificável a pessoa cuja individuação não envolva custos ou
prazos desproporcionados.
Art. 4º. Ninguém será obrigado a fornecer informações sobre sua pessoa ou de ter-
ceiros, salvo nos casos previstos em lei.
Art. 5º. A coleta, o processamento e a distribuição, com finalidades comerciais, de
informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se refe-
rem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o pa-
gamento de indenizações a terceiros, quando couberem.
§ 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações privadas
armazenadas e das respectivas fontes.

58
§ 2º. Fica assegurado o direito à retificação de qualquer informação privada incorre-
ta.
§ 3º. Salvo por disposição legal ou determinação judicial em contrário, nenhuma in-
formação privada será mantida à revelia da pessoa a que se refere ou além do tem-
po previsto para a sua validade.
§ 4º. Qualquer pessoa, física ou jurídica, tem o direito de interpelar o proprietário de
rede de computadores ou provedor de serviço para saber se mantém informações a
seu respeito, e o respectivo teor.
Art. 6º.Os serviços de informações ou de acesso a bancos de dados não distribuirão
informações privadas referentes, direta ou indiretamente, a origem racial, opinião po-
lítica, filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade,
pública ou privada, salvo autorização expressa do interessado.
Art. 7º.O acesso de terceiros, não autorizados pelos respectivos interessados, a in-
formações privadas mantidas em redes de computadores dependerá de prévia auto-
rização judicial.
DOS CRIMES DE INFORMÁTICA
Dano a dado ou programa de computador
Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcial-
mente, dado ou programa de computador, de forma indevida ou não autorizada.
Pena: detenção, de um a três anos e multa.
Parágrafo único. Se o crime é cometido:

59
I - contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entida-
de da administração direta ou indireta ou de empresa concessionária de serviços
públicos;
II - com considerável prejuízo para a vítima;
III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV - com abuso de confiança;
V - por motivo fútil;
VI - com o uso indevido de senha ou processo de identificação de terceiro; ou
VII - com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de dois a quatro anos e multa.
Acesso indevido ou não autorizado
Art. 9º.Obter acesso, indevido ou não autorizado, a computador ou rede de compu-
tadores.
Pena: detenção, de seis meses a um ano e multa.
Parágrafo primeiro. Na mesma pena incorre quem, sem autorização ou indevida-
mente, obtém, mantém ou fornece a terceiro qualquer meio de identificação ou a-
cesso a computador ou rede de computadores.
Parágrafo segundo. Se o crime é cometido:
I - com acesso a computador ou rede de computadores da União, Estado, Distrito
Federal, Município, órgão ou entidade da administração direta ou indireta ou de em-
presa concessionária de serviços públicos;

60
Pena: detenção, de um a dois anos e multa.
Alteração de senha ou mecanismo de acesso a programa de computador ou dados
Art. 10º.Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou não autorizada.
Pena: detenção, de um a dois anos e multa.
Obtenção indevida ou não autorizada de dado ou instrução de computador
Art. 11º.Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou ins-
trução de computador.
Pena: detenção, de três meses a um ano e multa.
I - com acesso a computador ou rede de computadores da União, Estado, Distrito
Federal, Município, órgão ou entidade da administração direta ou indireta ou de em-
presa concessionária de serviços públicos;

61
Pena: detenção, de um a dois anos e multa
Violação de segredo armazenado em computador, meio magnético de natureza
magnética, óptica ou similar.
Art. 12º. Obter segredos, de indústria ou comércio, ou informações pessoais arma-
zenadas em computador, rede de computadores, meio eletrônico de natureza mag-
nética, óptica ou similar, de forma indevida ou não autorizada.
Criação, desenvolvimento ou inserção em computador de dados ou programa de
computador com fins nocivos
Art. 13º.Criar, desenvolver ou inserir, dado ou programa em computador ou rede de
computadores, de forma indevida ou não autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou
rede de computadores.
Pena: reclusão, de um a quatro anos e multa.
I - contra o interesse da União, Estado, Distrito Federal. Município, órgão ou entida-
de da administração direta ou indireta ou de empresa concessionária de serviços
públicos;

62
Pena: reclusão, de dois a seis anos e multa.
Veiculação de pornografia através de rede de computadores
Art. 14º.Oferecer serviço ou informação de caráter pornográfico, em rede de compu-
tadores, sem exibir, previamente, de forma facilmente visível e destacada, aviso so-
bre sua natureza, indicando o seu conteúdo e a inadequação para criança ou ado-
lescentes.

Análise e comparação de tipos e ataques em servidores brasileiros

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Análise e comparação de tipos e ataques em servidores brasileiros

Semelhante a Análise e comparação de tipos e ataques em servidores brasileiros (20)

Análise e comparação de tipos e ataques em servidores brasileiros