O projeto pretende coletar e registrar as seguintes informações: quantidade de redes identificadas, se protegidas ou não, tipos de autenticação e criptografias utilizadas em cada uma delas. Essas informações serão utilizadas para gerar estatísticas sobre o uso de protocolos seguros e boas práticas de segurança. Nenhuma informação a mais é detectada, e não há intrusão nas redes, garantindo assim a privacidade de todas as redes e empresas atingidas pela pesquisa. Em breve o projeto acredita inclusive divulgar novas parcerias.

Linux Ubuntu, um sistema operacional de código aberto construído em volta do núcleo Linux baseado no Debian, sendo o sistema de código aberto mais popular do mundo. É patrocinado pela Canonical Ltd.

Kismet, um analisador de rede, e sistema de detecção de intrusão para redes 802.11 wireless. O Kismet pode trabalhar com as placas wireless no modo monitor, capturando pacotes em rede dos tipos: 802.11a, 802.11b e 802.11g. Funciona com os sistemas operacionais Linux, FreeBSD, NetBSD, OpenBSD, e Mac OS X. Existe um cliente para Windows, porem é necessário usar um servidor externo.
Além disso também foi utilizada uma configuração adicional ao Kismet, foi editado o parâmetro “logtypes” para que ficasse com os seguintes valores: logtypes=netxml,nettxt, pois assim são capturadas apenas informações de rede, excluindo captura de tráfego e posicionamento global.

- Antena Hypertec Omnidirecional,

Frequência: 24000-25000 MHz
Potência real: 25dbi
Polarização Vertical: 90°
Polarização horizontal: 360°
Radiação: Omnidirecional
Conector: N-Fêmea
Resistência ao Vento: 100km
- Antena Aquário (grade),

Frequência: 24000-25000 MHz
Potência real: 25dbi
Polarização: Linear vertical ou Horizontal
Conector: N-Fêmea
Resistência ao Vento: 100km

Para utilizar as antenas é necessário utilizar adaptadores capazes de receber os sinals obtidos pelas antenas citadas acima, e para isso utilizamos dois ótimos adaptadores USB, TP-Link modelo TL-WN422G e SmartLan Wireless modelo UW54, ambos com chipset Ralink e receptor pigtail.

Em breve faremos um novo post com mais informações sobre o projeto.

Introdução

Essa pesquisa foi elaborada de forma independente por Filipe Villar. (filipevillar[at]gmail[dot]com) com a intenção de atender a necessidade de se identificar o perfil dos profissionais que atuam no mercado brasileiro de segurança da informação.

Essa pesquisa coletou 112 respostas de profissionais distintos no período de 01/06/2011 a 20/06/2011.

Dentre outras, foram coletadas de forma anônimas informações sobre o nível acadêmico, faixa salarial, perfil de atuação, tempo de profissão, certificações conquistadas, dentre outros dados.

Esse documento presta-se a publicar os resultados do cruzamento de alguns dos dados obtidos. Caso ache que essas informações não são suficientes, entre em contato com o autor da pesquisa solicitando outros resultados.

Em momento algum serão disponibilizados os dados brutos da pesquisa.

Compilação em gráficos

Faixa etária

Faixa salarial

Vale ressaltar que a pesquisa feita sobre faixas salariais ocorreu sob as seguintes especificações:

• Os valores foram cotados em dólar americano (US$) em virtude da possibilidade de profissionais morando no exterior;
• A cotação do cambio a ser considerada nessa pesquisa foi de R$1,70

Nível de formação acadêmica

Horas semanas de estudo

Certificações

Incentivo a certificações

Idiomas estrangeiros

Experiência no exterior

Tempo

Tempo de atividade profissional

Tempo de atividade em segurança da informação

Cruzamento de dados

Faixa salarial por faixa etária

Faixa salarial por tempo de experiência

Faixa salarial por experiência internacional

Vale ressaltar que se entende por “experiência internacional” aqueles profissionais que trabalham ou que trabalharam fora do Brasil. Não foram consideradas as situações onde o profissional interagia com estrangeiros ou que executasse projetos ou atividades pontuais no exterior.

Disposições finais

Sobre a pesquisa e suas respostas

Esse material é resultado do trabalho de pesquisa sobre o perfil dos profissionais de segurança da informação. Todas as respostas cedidas para essa pesquisa foram fornecidas pelos próprios profissionais que, espontaneamente, responderam ao questionário apresentado.

Em momento algum o autor do trabalho se responsabiliza pelas respostas prestadas, sendo estas de inteira responsabilidade daqueles que decidiram participar do levantamento.

Sobre esse documento

Este documento é uma versão preliminar da compilação das respostas que foram apresentadas à pesquisa. De maneira nenhuma esse documento esgota as possibilidades de cruzamento de informações, mas apenas presta-se para uma apresentação inicial dos resultados obtidos.

Fica a critério do autor da pesquisa, Filipe Villar (filipevillar[at]gmail[dot]com) publicar novas informações sobre essa pesquisa. Caso haja interesse individual ou conjunto de qualquer forma por mais informações, o autor coloca-se à disposição para a cessão de mais informações ou dos resultados de cruzamentos de dados.

A base de respostas, constante de todas as respostas em sua forma bruta, não está disponível a apreciações.

Sobre a recorrência

É de intenção de o autor Filipe Villar (filipevillar[at]gmail[dot]com) repetir periodicamente a pesquisa para fins de acompanhamento das alterações de perfil passíveis de ocorrer através do tempo. Contudo, essa intenção não caracterizará obrigatoriedade alguma nem ao autor, nem tampouco àqueles que tenham participado de qualquer versão da pesquisa.

Por Filipe Villar.

Mariano Sumrell

Diariamente surgem mais de 40 mil novas ameaças na Internet. E esse número cresce constantemente. Essa enorme   produção é fruto de uma atividade profissional muito bem organizada, o Cibercrime. Estima-se que o cibercrime   movimente globalmente tanto dinheiro quanto o narcotráfico. É claro que a produção de malwares é apenas uma das   atividades do cibercrime que engloba espionagem industrial, sabotagem, aluguel de botnets, envio de SPAMs, venda   de produtos e muitos outros.

Mas o fato é que a produção de malwares cresce em quantidade e sofisticação. E os fabricantes de antivírus e outros   produtos de segurança precisam acompanhar esse ritmo para proteger os seus usuários. Nesse artigo vamos entender como os antivírus estão sendo capazes de oferecer proteção contra as atuais ameças.

Existem diferentes tipos de programas maliciosos ou malwares (MALicious softWARE): vírus, worms, cavalos de tróia ou trojans e outros. Neste artigo, vamos usar o termo vírus como é entendido informalmente, ou seja, como uma designação genérica de ameaças ou malware.

Detecção por Assinatura

A maneira tradicional dos softwares identificarem um vírus é a detecção por assinatura. Consiste em identificar uma sequência de bytes que caracterizam um malware. Essa assinatura é obtida depois que um vírus é identificado. Para isso os fabricantes de antivírus tem pontos de coleta espalhados em todo o mundo e contam ainda com colaboradores em diversos países. No Brasil, a Winco envia diariamente para o AVG amostras que recebemos de diferentes fontes, inclusive de uma colaboração com o CSIRT (Computer Security Incident Response Team) do Banco do Brasil.

Além da quantidade enorme de amostras que tem de ser analisadas e de assinaturas geradas, é necessário lidar com os vírus polimórficos. Vírus polimórficos se automodificam para dificultar a sua detecção. Essa modificação normalmente é feita empacotando o código malicioso usando técnicas de criptografia. Os antivírus tem de ser capazes de encontrar a assinatura em todas as variantes.

A detecção por assinatura de vírus conhecidos é muito eficiente e por isso continua sendo utilizado por todos os fabricantes de antivírus. Mas esse método tem um grande problema: a janela de tempo entre o surgimento do vírus e a atualização do arquivo de assinaturas na máquina do usuário. Por isso, são necessários outras camadas de proteção, com novas técnicas de detecção. No restante deste artigo, descreverei essas novas técnicas que estão sendo usadas na guerra contra o cibercrime.

Detecção Heurística

Há duas formas de heurística: estática e dinâmica.

Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de no operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.

Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, o código é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

Análise Comportamental

A análise comportamental monitora o que os programas em execução na máquina estão fazendo. Verifica como um programa está interagindo com outros programas e que tipo de acesso está fazendo aos recursos do computador. Assim, pelo comportamento do programa pode-se identificar malwares ainda não conhecidos. Por exemplo, um programa que intercepta o teclado de outra aplicação e começa a acessar a internet é considerado suspeito.

Proteção no Acesso a Sites

Há alguns anos a navegação em sites tem sido um dos principais vetores de propagação de malwares. Os cibercriminosos estão invadindo sites idôneos e contaminando-os com software malicioso. Muitas vezes, a simples visita a um site invadido pode contaminar o computador do internauta. É o chamado drive-by download. Para infectar uma máquina, são exploradas falhas de segurança do navegador ou do sistema operacional ou o usuário é induzido a fazer download do software malicioso.

As páginas ficam contaminadas por muito pouco tempo. Às vezes por poucas horas, raramente por mais de um dia. Quem tiver curiosidade de testar algum site, faça uma visita ao AVG Threat Labs.

Essa volatilidade implica que uma proteção adequada a esse tipo de ataque tem de ser feito em tempo real, analisando o conteúdo das páginas. Proteção baseada em bancos de dados estáticos de URLs comprometidas tem pouca utilidade nesse caso.

Firewall

Apesar do firewall não ser considerado um produto antivírus, ele tem um papel muito importante no bloqueio de ameaças que vem pela rede, explorando falhas de segurança no sistema operacional ou mesmo na camada aplicação de um servidor. Por isso ele está presente nos suítes mais completos de antivírus.

Conclusão

Os antivírus tiveram que incorporar novas tecnologias e métodos de proteção para enfrentar a crescente variedade e sofisticação dos softwares maliciosos. Todos os elementos apontados acima estão presentes, por exemplo, num dos softwares mais populares de antivírus do mundo e do Brasil, o AVG.

Com essas novas tecnologias, um bom antivírus consegue oferecer um alto grau de proteção. Mas nenhuma proteção é 100% garantida. Mas aliando um bom antivírus com boas práticas de segurança (vide o artigo de Bruno Salgado Cartilha de Segurança da Informação para usuários não-técnicos) navego, acesso o meu banco, faço muitas compras pela internet e me sinto bastante seguro. Posso dizer que o risco que corro ao usar o meu cartão de crédito na internet é equivalente ao risco dele ser clonado no mundo real, num restaurante, posto de gasolina ou outro estabelecimento. Aliás, recentemente tive o meu cartão clonado no mundo real e nunca tive problemas no mundo virtual. Mas, nada é 100% garantido.

Mariano Sumrell Miranda

Por Tulio Alvarez.

Introdução

A proteção da informação é fundamental para a manutenção da estabilidade e segurança das sociedades. Ao vivermos na era da informação, onde a dependência da tecnologia aumenta a cada dia, os riscos ligados às perdas de requisitos da segurança da informação como a confiabilidade, integridade e disponibilidade aumentam exponencialmente. A Sociedade da Informação encontra-se quase refém da tecnologia e a defesa e proteção da informação devem ser tratadas de maneira profissional e madura cada vez mais. Todos nós fazemos parte deste processo como integrantes do conjunto de atores que podem colaborar com a melhoria do nível atual de segurança das informações. O estudo e entendimento dos conceitos de Guerra e Defesa Cibernética é parcela da educação digital dos profissionais de segurança da informação e de qualquer cidadão brasileiro, pois permitirá um acompanhamento da evolução e tendências do mundo moderno. Desta forma, oportunidades poderão ser criadas para construirmos uma sociedade mais justa e segura. Ambos os termos dizem respeito a ações do Estado, seja em tempo de guerra ou na paz. Sendo o povo brasileiro parte da nação, estes conceitos se relacionam com o dia a dia da nossa sociedade, portando, dizem respeito ao cidadão brasileiro e a proteção de suas informações e comunicações [1]. Vale ressaltar que o espaço cibernético já faz parte de nossa Estratégia Nacional de Defesa como um dos setores de importância estratégica no Brasil [2].

O texto se propõe a lançar idéias para estudos e questionamentos, uma vez que os temas abordados são recentes, ainda não se encontram consolidados e carecem de maiores aprofundamentos e esclarecimentos.

Boa leitura!

Guerra Cibernética

Com a evolução natural das tecnologias, novas ameaças surgem para explorar as vulnerabilidades, sejam de software, hardware, físicas e até humanas. A segurança deve ser encarada como um processo e o nível medido de segurança é equivalente ao elo mais fraco de toda a cadeia [3]. Pode ser o homem, mas também podem ser os equipamentos de conectividade e/ou servidores mal configurados, ou qualquer outro ativo de uma organização. Normalmente o homem tem sido o elo mais fraco, mas não podemos esquecer os demais ativos que envolvem o processo de comunicação por onde trafega a informação.

Para cada grau de proteção da informação requerido são necessárias medidas que minimizam o risco e maximizam o investimento. Assim, a segurança do negócio a ser protegido poderá atingir níveis de aceitação adequados. Logicamente, um processo de gestão de riscos [4][5] deve ser efetivado em sua plenitude para que não haja pontos falhos e para que toda a organização seja contemplada com os mecanismos de segurança adequados.

Nossa sociedade já atingiu maturidade suficiente para estabelecer normas e procedimentos de segurança. Atualmente, constatam-se padrões internacionais para a proteção do conhecimento, como é o caso das normas da International Organization for Standardization (ISO) [6] da série 27000, que tratam, especificamente, sobre Segurança da Informação. Existem muitas outras como a série 800 das normas do National Institute of Standards and Technology (NIST) [7] (em português: Instituto Nacional de Padrões e Tecnologia), que é uma agência governamental não-regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos, dentre outras normas.

Um dos grandes temas atuais o qual se ouve, lê e até por vezes discute-se, é a Guerra Cibernética.

Ao observar o tratamento dado a este tema percebe-se um “discreto” afastamento do seu real contexto literal. Chama-se de Guerra Cibernética os diversos problemas de segurança ocorridos na Internet, como o caso atual de conflitos na web afetando sites de partidos políticos que concorrerão às eleições de 2010 [8], invasões de usuários maliciosos a sistemas, os defacements que são páginas da web invadidas e alteradas para diversos fins (seja político, ideológico, econômico ou qualquer outro), espionagem industrial realizada por ex-funcionários, invasão e roubo de informação privilegiada por agentes de inteligência, etc. Estas ações, em seu contexto mais amplo, são inerentes à Guerra de Informação quando tratamos os ataques às redes de computadores e sistemas. (Obs: Neste caso, não estão sendo levados em consideração os aspectos de operações de Guerra Psicológica ou de qualquer outra operação com base nas informações) [9]. Todas estas ações podem ocorrer a qualquer momento, seja na guerra ou na paz, portanto não são ações exclusivas da Guerra Cibernética.

Quando em tempo de guerra, estes assuntos devem ser tratados na contextualização dos aspectos ofensivos e defensivos no espectro cibernético. Aí sim, encontra-se o campo da Guerra Cibernética [10][11][12] propriamente dita. Nesta situação, um país beligerante pode utilizar todas as possibilidades, sejam técnicas de ataque e/ou de defesa, para obter superioridade e garantir o sucesso de suas operações. A Guerra Cibernética é a nova realidade para o teatro das operações militares. Neste ramo, não há mais limites territoriais. As novas armas são as técnicas utilizadas em computadores para ataque e defesa de uma rede ou sistemas em busca de vantagem tática.

Num conflito armado, as Forças Armadas possuem seus Centros de Comando e Controle que devem ser protegidos, pois são pontos de extrema importância estratégica, sendo considerados como Centros de Gravidades de uma força. Uma vez neutralizados ou destruídos podem mudar o rumo das operações militares. Já do lado inimigo estes poderão ser alvo das ações de guerra para que se consigam desestabilizá-los e se possa garantir certa vantagem tática. Conceitos da guerra moderna como Guerra Centrada em Redes ou Network-Centric Warfare (NCW) e Consciência Situacional (Situational Awareness) também devem ser estudados em paralelo com os conceitos da Guerra Cibernética [13], mas não serão objetos de estudo neste artigo.

Um típico exemplo deste novo ramo da atividade militar é a criação de centros e núcleos específicos de Guerra Cibernética, como o United States Cyber Command (USCYBERCOM) [14] cuja missão é dirigir as operações de defesa do Departamento de Defesa (DoD) específicas de redes de computadores e de informação, preparar-se para, quando solicitado, realizar operações militares no ciberespaço a fim de permitir ações em todos os domínios, assegurar aos Estados Unidos e aliados a liberdade de ação no ciberespaço e negar o mesmo para os adversários. O impacto deste tipo de ação nas redes militares é direto. Podemos constatar nas palavras do General Keith Alexander, Comandante do USCYBERCOM, durante a cerimônia de posse do cargo:

My main focus will be on building the capacity, the capability, and the critical partnerships required to secure our military’s operational networks. This command is not about efforts to militarize cyber space. Rather, it is about safeguarding the integrity of our military’s critical information systems.
Gen. Keith Alexander, USCYBERCOM Commander, Nomination Hearing, April 15, 2009 [15]

Há diversos casos já registrados na história recente envolvendo ações de Guerra Cibernética, como Israel x Hezbollah, Estônia, Geórgia, Coréia do Norte, etc. Mais de 23 países já tratam como estratégia de estado a formação específica de grupos de “guerreiros cibernéticos” como tropa de elite [16]. São exemplos, os EUA, China, Rússia, Canadá, Alemanha, Inglaterra, Austrália, Índia, OTAN, dentre outros. Destes, a China e a Rússia vem se destacando na formação de “guerreiros cibernéticos”, sendo os grupos chineses os maiores desenvolvedores de vírus e descobridores de brechas de segurança na Internet.

Um dos grandes problemas enfrentados nas definições sobre os aspectos a serem considerados na guerra é o contra-ataque ou retaliação. Quando se tem um território e um inimigo bem definido é fácil a conceituação. No caso da Guerra Cibernética torna-se mais complicado de se definir quem é o autor de determinado tipo de ataque, pois ela pode atuar de maneira assimétrica com ações de baixo custo e alto impacto. Por exemplo: quando ocorrer um ataque na web de negação de serviço distribuído (DDoS) [17] direcionado a servidores da administração pública de um país que está em guerra. Como se pode descobrir e ter a certeza que partiu do outro país beligerante? Pode-se revidar um ataque territorial com um ataque cibernético? Como ficam as conseqüências das leis internacionais que regem os conflitos armados? Como garantir o poder de dissuasão na Guerra cibernética? Estas e outras questões devem ser alvos de estudos mais aprofundados para que tenhamos condições de garantir nossa soberania e segurança em caso de conflito.

Vale lembrar que as tecnologias de Segurança da Informação e Comunicações, bem como as de Guerra Cibernética não devem ser compradas, elas tem que ser desenvolvidas!

Defesa Cibernética

Em tempos de paz os conceitos de segurança da informação e defesa cibernética devem sempre existir para que assegurem a existência e continuidade da Sociedade da Informação de uma nação, garantindo e protegendo, no espaço cibernético, os ativos de informação e sua infraestrutura crítica [10].

Atualmente, diversos atores como os terroristas e os praticantes de crimes formam uma parcela das ameaças atuais à segurança das informações e comunicações. A tecnologia foi integrada às práticas destes atores, que, nos dias de hoje, atuam indiscriminadamente no espectro cibernético. Dentre estas ameaças destacam-se os Ciberterroristas e Cibercriminosos. Um exemplo de ações de ciberterroristas é a Eletronic Jihad lançada pelo Al-Qaeda contra os Estados Unidos [17][18]. Neste caso, o programa era utilizado para criar uma rede de máquinas Zumbis (botnet) para ser utilizada a favor da organização terrorista (figura 1).

Figura 1: Programa Eletronic Jihad. Rede de Máquinas Zumbis para ataques na web [19][20]

Já no âmbito dos crimes virtuais existe uma imensidão de exemplos, como fraudes bancárias, roubos de identidade, falsificação de informações, pedofilia, venda de drogas na Internet, vazamento de informações (vide caso recente de vazamento de dados de pessoas ilustres pelos bancos de dados da Receita Federal), etc.

Como poderia um país fazer frente às ameaças como as citadas acima sem uma estrutura de defesa que garanta a funcionalidade e sobrevivência da sociedade da informação que vivemos hoje?

A resposta está na organização de uma estratégia de segurança e Defesa Cibernética [10][11]. A infraestrutura crítica do país deve estar sob vigilância e proteção constante a fim de evitar prejuízos ou qualquer tipo de ação adversa. As técnicas de ataques em redes de computadores citados na Guerra Cibernética podem ocorrer com freqüência em tempos de paz. As técnicas são as mesmas. Ataques de negação de serviço distribuídos conhecidos como DDoS [21][22][23] podem ser eficazes para retirar um site do ar e extremamente difíceis de serem investigados, pois podem vir de qualquer parte do planeta. Invasões em busca de informações privilegiadas também são freqüentes nos dias atuais.

Com o crescimento do Brasil perante a sociedade mundial, torna-se imprescindível um aumento nas condições de segurança e proteção das informações e comunicações. As tecnologias desenvolvidas no país, como a da perfuração de petróleo em águas profundas (PETROBRAS), as informações sobre os campos pesquisados de petróleo no pré-sal, os serviços da Administração Pública que movem o país (como os da rede do SERPRO), e outros que participam de nossa infraestrutura crítica devem ser protegidos e a defesa deles depende de ações integradas em todos os níveis da sociedade.

A busca da segurança e defesa cibernética deve ser contínua e permanente. Ações de conscientização e educação são os pilares da construção do conhecimento que sustentará a segurança de nossa nação e devem ser incentivadas em todos os ambientes, seja na escola, na família ou no trabalho. Também deve ser mantida uma estrutura jurídica que respalde as ações e crie uma blindagem jurídica para os profissionais da segurança da informação [24].

Um país deve estar preparado para enfrentar estes desafios da defesa do espaço cibernético. No Brasil, diversas ações já estão sendo tomadas para a proteção da informação no âmbito da Administração Pública Federal, como as do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI) [1][25].

Para os que trabalham na Administração Pública Federal já existem diversas normas complementares do GSI fornecendo diretrizes sobre aspectos da Gestão de Segurança da Informação e Comunicações (Política de Segurança, Gestão de Riscos, a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais – ETIR, Gestão de Continuidade de Negócios, Implementação de Controles de Acesso e Gerenciamento de Incidentes em Redes Computacionais) [25]. Para as organizações em geral existem as normas internacionais de segurança que podem ser seguidas  [4] [5] [6] [7]. Para os usuários não técnicos existem cartilhas para o uso seguro da Internet, como a do CERT [26], e outras dicas, como a cartilha de segurança já divulgada neste site (www.seginfo.com.br) [27].

Iniciativas como estas são louváveis e os resultados dos trabalhos desenvolvidos aos poucos vão aparecendo, contribuindo para a garantia de uma sociedade mais segura.

Os desafios do presente e futuro são enormes. Pensar sobre a segurança e defesa não somente no âmbito das atuais tecnologias, mas também, em desenvolver com segurança as que estão surgindo, como a nanotecnologia, biotecnologia, inteligência artificial, robótica e genética, possibilitarão estabilidade e tranqüilidade para a sociedade, e não devem ser desencorajadas ou deixadas em segundo plano.

Conclusão

A Internet conecta o mundo de uma forma que todos os países se veem participantes dos processos de comunicações, seja direta, ou indiretamente. Proteger somente a rede interna de um país e fechar as portas lógicas para o mundo afora é se isolar e ficar alheio à dinâmica do mundo moderno. Tal ação é praticamente inexeqüível, devido à grande dependência de aspectos econômicos e políticos. O Direito Internacional a cada dia avança nas decisões inéditas quando trata assuntos relativos à globalização, particularmente quando ocorrem problemas dentro do espaço cibernético [28]. Desta forma, a integração mais cerrada de todos aqueles que trabalham com informação é necessária para que se possa responder rapidamente a qualquer crise que permeie o trato das informações e comunicações do nosso país. Seja um funcionário do governo que cuida da segurança da informação e das comunicações de seu órgão do governo, como o Gabinete de Segurança Institucional (GSI) junto ao Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR-Gov), seja pertencente ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT), seja da Rede Nacional de Ensino e Pesquisas (RNP), atuando firmemente em seu Centro de Atendimento a Incidentes de Segurança (CAIS), seja um trabalhador das organizações cujo negócio seja telecomunicações, seja um administrador de rede de qualquer empresa ou organização, e até mesmo, nós, os usuários, todos temos responsabilidades para manter o nosso Brasil mais seguro a cada dia.

O Brasil é um país pacífico por tradição e convicção. Se quiser ocupar o lugar que lhe cabe no mundo de hoje, precisará estar preparado para defender-se não somente das agressões, mas também das ameaças [2], incluindo as do espaço cibernético. A Guerra Cibernética deve ser estudada e estabelecidos critérios para o desenvolvimento de ações para a garantia da paz e do poder de dissuasão do Brasil, sem se esquecer do arcabouço da legislação internacional sobre o uso da força [28].

Quanto à Defesa Cibernética, não há dúvidas que precisamos acelerar os processos de segurança e minimizar os riscos que estamos envolvidos. Ações imediatas já estão sendo realizadas e tal esforço deve continuar. O simples fato de divulgar e fazer conhecer as normas e políticas de segurança estabelecidas para sua organização já é um fator de força para melhorar o nível de segurança que vivemos. É a nossa sociedade que está à mercê das ameaças. Educação e conscientização de todos, pais e filhos deve ser uma busca constante para que nossa sociedade viva mais justa e segura, com igualdade de escolhas para todos.

Contribuir para a educação digital é nosso papel como cidadão e profissional da segurança da informação.

Para saber mais:

• ^ [1] http://dsic.planalto.gov.br/legislacaodsic/52, Instrução Normativa GSI Nº 1, de 13 de junho de 2008 que Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. (Publicada no DOU Nº 115, de 18 Jun 2008- Seção 1) em 29/08/2010.
• ^ [2] https://www.defesa.gov.br/eventos_temporarios/2009/estrategia/arquivos/estrategia_defesa_nacional_portugues.pdf, Estratégia Nacional de Defesa, em 29/08/2010.
• ^ [3] RAMOS, Anderson; BASTOS, Alberto; LYRA, Alexandre; ANDRUCIOLI, Alexandre; AFFONSO, Carlos; POGGI, Eduardo; PINTO, Elaine; BLUM, Renato; ALEVATE, William; MARINHO, Zilta. Guia Oficial para Formação de Gestores em Segurança da Informação – volume 1. Porto Alegre: Editora Zouk, 2006.
• ^ [4] ABNT – NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.
• ^ [5] ABNT NBR ISO/IEC 27005:2008 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação.
• ^ [6] http://www.iso.org/iso/home.html em 29/08/2010.
• ^ [7] http://csrc.nist.gov/publications/PubsSPs.html em 29/08/2010.
• ^ [8] http://noticias.terra.com.br/brasil/noticias/0,,OI4381738-EI7896,00-Site+do+PT+e+novamente+invadido+mensagem+pede+apoio+a+Serra.html em 29/08/2010.
• ^ [9] LIBICKI, Martin C. CONQUEST IN CYBERSPACE – National Security and Information Warfare. CAMBRIDGE UNIVERSITY PRESS, UK, 2007.
• ^ [10] MANDARINO JÚNIOR, R. Um Estudo Sobre a Segurança e a Defesa do Espaço Cibernético Brasileiro. Monografia de Especialização em Ciência da Computação: Gestão da Segurança da Informação e Comunicações – Universidade de Brasília (UnB), Brasília, 2009.
• ^ [11] BRANCO JÚNIOR, Paulo Ribeiro. Agência de Inteligência e Guerra Cibernética: uma proposta para a Defesa Nacional. Monografia de Especialização em Inteligência Estratégica – Faculdade Albert Einstein (FALBE), Brasília, 2005.
• ^ [12] DUTRA, Andre M. Introdução à Guerra Cibernética: a necessidade de um despertar brasileiro para o assunto. Artigo http://www.sige.ita.br/IX_SIGE/Artigos/GE_39.pdf em 29/08/2010.
• ^ [13] ALBERTS, David S.; GARSTKA, John J.; FREDERICK, Stein P. Network Centric Warfare: Developing and Leveraging Information Superiority. Washington, D.C.: CCSR, 2000. 2 ed. Disponível em: http://www.dodccrp.org/files/Alberts_NCW.pdf. Acesso em: 28/08/2010.
• ^ [14] http://www.stratcom.mil/factsheets/cc/ em 29/08/2010.
• ^ [15] http://www.defense.gov/home/features/2010/0410_cybersec/ em 29/08/2010.
• ^ [16] Infowar Conference 2001, http://www.infowar.com, em 29/08/2010.
• ^ [17] KRUTZ, Ronald; VINES, Russell D. The CEH Prep Guide: The Comprehensive Guide to Certified Ethical Hacking. Indianapolis, USA: Wiley, 2008.
• ^ [18] http://www.crime-research.org/news/19.02.2004/49/ em 29/08/2010.
• ^ [19] http://www.informationweek.com/news/internet/showArticle.jhtml?articleID=200001943 em 29/08/2010.
• ^ [20] http://www.informationweek.com/news/internet/showArticle.jhtml?articleID=200900590 em 29/08/2010.
• ^ [21] RAMOS, Anderson; ANDRUCIOLI, Alexandre; SOUZA, Alexandre Domingos de; VARGAS, Alexandre; MICHELLIS, Denis; GALVÃO, Márcio; HASHIMOTO, Rafael; GIORGI, Ricardo; AGIA, Rodrigo. Guia Oficial para Formação de Gestores em Segurança da Informação – volume 2. Porto Alegre: Editora Zouk, 2007.
• ^ [22] NAKAMURA, Emilio T.; Geus, Paulo L. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2008.
• ^ [23] COLARIK, Andrew M. Cyber Terrorism – Political and Economic Implications. United States of America: Idea Group Publishing, 2006.
• ^ [24] PECK, Patrícia. Direito Digital (4ªRev). São Paulo: Editora Saraiva, 2010.
• ^ [25] http://dsic.planalto.gov.br/legislacaodsic/53, Normas Complementares de Segurança da Informação e Comunicações do GSI de números 01 a 08, em 29/08/2010.
• ^ [26] http://cartilha.cert.br em 29/08/2010.
• ^ [27] http://www.seginfo.com.br/cartilha-de-seguranca-da-informacao-para-usuarios-nao-tecnicos/ em 29/08/2010.
• ^ [28] BARKHAM, Jason. Information Warfare and International Law on the Use of Force. http://activeresponse.org/files/34_1_b.pdf em 29/08/2010.

Testes de invasão têm por objetivo verificar a resistência de redes, sistemas ou aplicações em relação aos atuais métodos de ataque. Diariamente são descobertas novas falhas nos mais variados sistemas, por isso é de fundamental importância auditorias preventivas, mais especificamente, Testes de Invasão, que podem dar um diagnóstico real sobre a segurança dos ativos em questão.

Algumas vezes é difícil justificar o ROI (Return of Investment) de um teste de invasão para os tomadores de decisão. É preciso mostrar os custos resultantes de um ataque bem sucedido (por exemplo, o prejuízo causado pela indisponibilidade de um site comercialmente ativo – seja um portal de vendas ou para anúncio de serviços) e compará-los ao custo de um teste de invasão, que pode indicar quão protegido o Cliente está deste risco. Além disso, cada vez mais normas internacionais estão recomendando (ou exigindo) testes de invasão periódicos a todos que querem entrar em conformidade com as mesmas.

O objetivo deste artigo é descrever as etapas de um teste de invasão, mostrando que a estrutura dos testes segue modelos cuidadosamente estruturados em passos bem definidos. Afinal, apesar das óbvias semelhanças, há uma série de diferenças entre um ataque simulado contratado e um ataque malicioso real. E é o que veremos à seguir.

1. Planejamento e Preparação
2. Avaliação
   1. Obtenção de Informação
   2. Sondagem e Mapeamento
   3. Identificação de Vulnerabilidades
   4. Exploração
3. Documentação e Relatório
4. Conclusões
5. Recomendações de leitura

Planejamento e Preparação

Antes do início do Teste de Invasão é executado um levantamento inicial de informações para planejamento e modelagem dos testes. São levantados detalhes da infraestrutura contemplada, equipamentos e recursos que serão necessários durante os testes, bem como os tipos de ataque a compor a simulação constituem algumas das informações definidas nesta etapa. Antes do início dos testes, é necessário a assinatura do NDA (do inglês, Non-Disclosure Agreement, ou Termo de Confidencialidade) onde fica salvaguardada a confidencialidade das informações que eventualmente serão acessadas pelo analista responsável pelos testes.

É preciso estabelecer também prazos, janelas de tempo para execução dos testes e também pontos de contato para tratamento de questões especiais. Durante o planejamento também é decidido que tipo de teste será feito, pois isso implica diretamente na quantidade de informações a que o analista terá acesso. O teste pode ser classificado de 2 maneiras: Informações sobre o ambiente e Informações sobre os testes. De acordo com o nível de informações que serão passadas sobre o ambiente, o teste pode ser classificado como caixa preta, caixa branca ou caixa cinza (híbrido).

Em um teste caixa preta, há pouco ou nenhum conhecimento sobre o ambiente a ser avaliado, e tudo deve ser descoberto pelo analista. Em testes caixa branca, analogamente, o avaliador tem acesso irrestrito a qualquer informação que possa ser relevante ao teste, para conduzi-lo supondo o pior cenário, em que o atacante conseguiu obter todos os detalhes sobre o(s) alvo(s). Testes caixa cinza (ou híbridos) envolvem conhecimento limitado sobre o alvo, muitas vezes sendo o mínimo necessário para conduzir o teste da forma desejável.

Por outro lado, os testes podem ser classificados como anunciado ou não anunciado, que indicam se a equipe responsável pela TI e todos os demais colaboradores terão ciência da execução dos testes ou não. Há vantagens e desvantagens em anunciar o teste à equipe local. Por um lado, é possível evitar alardes caso o ataque seja detectado, e muita informação valiosa pode ser compartilhada para melhor orientar o ataque. Por outro lado, não é incomum ver administradores de redes e sistemas conscientes de um Teste de Invasão “burlando” o mesmo através de mudanças estruturais, comportamentais e melhorias temporárias, assumindo o serviço como um ataque pessoal ao seu trabalho e tratando o avaliador como uma ameaça ao seu emprego. Nesse tipo de teste também pode ser avaliado o tempo e a qualidade da resposta da equipe local aos ataques proferidos.

Avaliação

Esta é a fase onde os testes são efetivamente executados. Geralmente a abordagem desta fase é feita dividindo-a em várias etapas, conforme veremos detalhadamente a seguir.

Obtenção de Informação

A coleta de informações é essencial para modelar os ataques e determinar quais vetores podem ser explorados mais facilmente. O primeiro passo é vasculhar a Internet atrás de toda informação disponível sobre o alvo. As técnicas mais comuns são consultas a serviços de WHOIS e DNS (através de ferramentas como whois, dig e nslookup), sites de busca (por exemplo, Google), listas de discussão, blogs corporativos e de colaboradores, Engenharia Social e Dumpster Diving. Essa última consiste na busca por informações contidas em lixos corporativos, tais como documentos impressos e mídias descartadas sem o devido cuidado.

A coleta passiva de informações não exige nenhum contato com o sistema alvo, a informação é coletada (principalmente) a partir de fontes públicas e, geralmente, serve como uma avaliação sobre o alvo no quesito exposição de informação.

Sondagem e Mapeamento

Após a coleta de informações públicas sobre o alvo, inicia-se o processo de mapeamentos e varreduras da rede e dos recursos em questão. Dentre as atividades executadas nessa etapa, destacamos:

• Identificação de hosts vivos
• Portas e serviços em execução
• Mapeamento da rede
• Identificação de sistemas operacionais
• Identificação de rotas

Esse mapeamento ajudará no refino das informações adquiridas anteriormente e para confirmar ou descartar algumas hipóteses sobre os sistemas alvo.

Identificação de Vulnerabilidades

Uma vez identificados os sistemas e serviços pertencentes à rede em questão, o próximo passo é detectar qual deles possui vulnerabilidades conhecidas ou caminhos que possam ser explorados para a invasão. Vulnerabilidades conhecidas (e documentadas) podem ser encontradas em listas especializadas, sites de fornecedores de softwares e portais especializados.

Após a enumeração das vulnerabilidades descobertas, é feita uma estimativa de impacto de cada uma delas, além da identificação dos vetores de ataque e cenários para exploração.

Exploração

Através das vulnerabilidades e vetores de ataque encontrados, são disparados os ataques visando a obtenção de acesso não autorizado com o maior nível de privilégios possível. Para cada vulnerabilidade identificada, busca-se o seguinte:

• Encontrar ou desenvolver código/ferramenta para prova de conceito (é recomendado que tais provas sejam testadas em ambiente controlado, principalmente se forem desenvolvidas por terceiros)
• Confirmar ou refutar a existência de vulnerabilidades
• Documentar o caminho utilizado para exploração, avaliação do impacto e prova da existência da vulnerabilidade
• Obter acesso e, se possível, escalar privilégios.

Para explorar as vulnerabilidades encontradas podem ser utilizados inúmeros ataques, dependendo do tipo de falha encontrada. Veremos a seguir como funcionam os principais ataques.

Captura de Tráfego
É o processo de interceptar e examinar informações que trafegam pela rede, visando testar se os algoritmos e protocolos utilizados na comunicação dos sistemas garantem a integridade e privacidade das informações em trânsito.

Buffer Overflow
É quando um buffer de tamanho determinado recebe mais dados do que o esperado. A idéia é sobrescrever parte da pilha, mudando o valor de variáveis, parâmetros e até endereço de retorno, culminando em execução arbitrária de código.

Quebra de Senha
Geralmente feito através do ataque de força bruta que consiste em enumerar todos os possíveis candidatos e verificar qual deles satisfaz o problema. O custo computacional de ataques deste tipo é proporcional ao número de candidatos a solução e, em casos de senhas que seguem as boas práticas, pode demorar muito tempo. Um ataque particular de força bruta é o chamado “ataque dicionário” que busca quebrar senhas que consistem em palavras existentes em dicionário, independente do idioma.

Injeção de Código
Busca explorar aplicações que não tratam as entradas do usuário de forma correta. Dessa forma um atacante pode “injetar” códigos que serão interpretados pela servidor que os está recebendo. Essa injeção pode ser feita via formulários, URIs, Cookies, parâmetros e etc. O caso mais comum é a injeção de consultas SQL (SQL injection) que visa exposição e/ou alteração de informações contidas no banco de dados utilizado pela aplicação.

Cross-site Script (XSS)
Ataques XSS não persistentes surgem quando dados passados pelo Cliente são utilizados sem validação para gerar uma página de resultados. Podem acontecer também de forma persistente, no caso dos dados passados pelo cliente serem gravados diretamente no servidor, estando publicamente acessíveis, sem a devida validação ou limitação. Um exemplo típico é quando fóruns web interpretam tags html escritas por usuários dentro de seus posts.

Negação de Serviço
Ataques que visam submeter a máquina alvo a uma situação de desempenho extremamente baixo ou indisponibilidade completa , geralmente através de esgotamento de recursos.

Documentação e Relatório

Deve ser gerada uma documentação ao longo de todo o teste, a fim de manter registros de todas as atividades de forma transparente, informações como escopo do projeto, ferramentas utilizadas, datas e horas dos testes, lista de todas as vulnerabilidades identificadas e exploradas, assim recomendações para execução de melhorias.

Conclusões

Testes de invasão devem fazer parte do programa de segurança da informação das empresas. Há diversas formas de se tratar a segurança de uma rede, sistema ou aplicação, e o teste de invasão é apenas uma das possíveis ferramentas, porém é a que apresenta resultados mais concretos, com o mínimo de falsos positivos/negativos. É preciso atentar para a importância de auditorias preventivas, além de compreender a necessidade da percepção exata da exposição dos ativos de TI aos riscos existentes.

Em uma próxima oportunidade serão abordados mais detalhadamente os tipos de ataques e ferramentas relacionadas, entre outros temas sobre Testes de Invasão.

Recomendações de leitura

Pra terminar, algumas sugestões de leitura. São metodologias para testes de invasão que vão ajudar a ter uma visão mais ampla sobre o assunto e a modelar testes deste tipo para qualquer realidade.

• OSSTMM – Open Source Security Testing Methodology Manual
• NIST Special Publication 800-42: Guidelines on Network Security Testing
• NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment
• ISSAF – Information Systems Security Assessment Framework
• OWASP – Open Web Application Security Project

Por Victor Santos.

Este artigo tem como objetivo apresentar aos iniciantes um estudo introdutório realizado sobre Sistemas de Detecção de Intrusões (IDS – Intrusion Detection Systems) usando unicamente softwares Open Source. Serão abordadas as formas de detecção, tipos de IDS, classificação e no final serão apresentadas as ferramentas Snort e Ossec.

1. Introdução
2. Tipos de Sistemas de Detecção de Intrusão
   1. Sistemas de Detecção de Intrusão baseados em Host (HIDS)
   2. Sistemas de Detecção de Intrusão baseados em Rede (NIDS)
   3. Sistemas de Detecção de Intrusão Híbridos
3. Formas de Detecção
   1. Detecção por Assinatura
   2. Detecção por Anomalias
4. Modelo de Utilização
   1. Modo Passivo
   2. Modo Reativo
5. Ferramentas
   1. SNORT
   2. OSSEC-HIDS
6. Conclusão

Foto: Imagem ilustrativa do treinamento  ”Fortalecimento (Hardening) de Servidores Unix/Linux” por Academia Clavis Segurança da Informação, CC-BY-NC-ND.

Introdução

A popularização do computador nas décadas de 80 e 90 fez com que todo o mundo assistisse uma verdadeira “revolução tecnológica”, onde o computador passou a desempenhar um papel fundamental na vida de todos. Grandes empresas utilizando redes financeiras e sistemas de comunicação passaram a depender cada dia mais dos sistemas computacionais e até hoje o avanço da tecnologia vem trazendo inúmeros benefícios e facilidades para toda a sociedade.

Se por um lado essa “revolução” introduziu facilidades, por outro lado ela trouxe também inúmeras ameaças virtuais. A medida que as tecnologias de rede avançam em direção ao futuro e a informação passa a ser o principal ativo de muitas organizações, é necessário a implementação de mecanismos para proteger os dados . A cada dia surgem novas ferramentas automatizadas ou código-fonte de explorações de falhas de sistemas prontos que promovem acesso a servidores de redes, comprometendo sua segurança. Hoje em dia não é mais necessário ter conhecimentos avançados em um determinado sistema operacional ou protocolo para explorar suas vulnerabilidades, basta apenas pesquisar no Google.

Existem diversas ferramentas que contribuem significativamente para melhoria da segurança de uma rede, tais como: a criptografia, que estabelece um nível de proteção para dados, o uso de Firewalls estabelecem uma lógica na entrada e saída da rede controlando o tráfego a nível de pacotes, a VPN que cria um túnel criptografado entre 2 pontos de rede, etc…

Entre elas, o Sistema de Detecção de Intrusão merece um destaque especial, pois engloba o processo de monitorar, identificar e notificar a ocorrência de atividades maliciosas, atividades não-autorizadas que coloquem em risco e tenham como alvo ativos de tecnologia de uma rede de computadores.

Tipos de Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão baseados em Host (HIDS)

Sistemas de Detecção de Intrusão baseados em Host monitora e analisa informações coletadas de um único Host (Máquina). Não observa o tráfego que passa pela rede, seu uso volta-se a verificação de informações relativas aos eventos e registros de logs e sistema de arquivos (permissão, alteração, etc.). São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados. Também é aplicada em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet” ou quando não se confia na segurança corporativa da rede em que o servidor está instalado.

Sistemas de Detecção de Intrusão baseados em Rede (NIDS)

Sistemas de Detecção de Intrusão baseados em Rede monitora e analisa todo o tráfego no segmento da rede. Consiste em um conjunto de sensores que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, portscans, etc… São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. Os NIDS tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legítimo está fazendo mau uso do mesmo.

Sistemas de Detecção de Intrusão Híbridos

Sistemas de Detecção de Intrusão Híbridos é utilização dos sistemas baseados em redes e dos sistemas baseados em Host para controlar e monitorar a segurança computacional de um ambiente.

Formas de Detecção

Detecção por Assinatura

A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.

Detecção por Anomalias

A detecção por anomalias parte do princípio que os ataques são ações diferentes das atividades normais de sistemas. IDS baseado em anomalias monta um perfil que representa o comportamento rotineiro de um usuário, Host e/ou conexão de rede. Estes IDS’s monitoram a rede e usam várias métricas para determinar quando os dados monitorados estão fora do normal, ou seja, desviando do perfil. Uma desvantagem é a geração de um grande número de alarmes falsos devido ao comportamento imprevisível de usuários e do próprio sistema.

Modelo de Utilização

Modo Passivo

Um IDS passivo quando detecta um tráfego suspeito ou malicioso gera um alerta e envia para o administrador. Não toma nenhum atitude em relação ao ataque em si.

Modo Reativo

Um IDS reativo não só detecta o tráfego suspeito ou malicioso e alerta o administrador, como também possuí ações pré-definidas para responder as ameaça. Normalmente, isso significa bloquear todo o tráfego do IP suspeito ou do usuário mal-intencionado.

Existem diversos outros tipos de abordagens possíveis para a classificação de um IDS, veja a figura abaixo .

Ferramentas

SNORT

O Snort é um sistema de detecção de intrusão Open Source baseado em redes, capaz de realizar análise de tráfego e captura de pacotes em tempo real em redes que utilizam o protocolo IP. Ele pode analisar protocolos, buscar por conteúdo específico, e pode ainda ser utilizado para detectar uma variedade de ataques e sondas, tais como: buffer overflows, portscans, ataques de CGI, tentativas de identificação de sistema operacional, entre outros. O Snort pode ser utilizado de 3 formas:

• Captura de pacotes
• Analisado de tráfego de rede (Sniffer)
• Sistema completo de detecção de intrusão em redes.

O Snort faz a sua detecção baseado em assinaturas utilizando uma linguagem flexível de regras para analisar o tráfego coletado. Estas assinaturas/regras são atualizadas diariamente pela sua equipe de desenvolvimento, assim como por entusiastas e voluntários e podem ser obtidas diretamente da Internet, inclusive por processos automatizados.

Além de suas regras, o Snort também trabalha com o chamados de pré-processadores. Estes pré- processadores realizam funções específicas e cruciais para a eficiência do Snort, como, por exemplo, detectar portscans, detectar padrões de ataques mais complexos e mecanismos para remontar sequências de pacotes fragmentados.

A figura abaixo demonstra o processo de captura e análise de tráfego do Snort:

Existem também mecanismos de integração do SNORT com Firewalls, como o SnortSam e o Snort-inline, transformando ele em um modelo de IDS reativo. O SnortSam permite que o SNORT possa interagir diretamente com diversos Firewalls do mercado, desde o básico IPChains/IPTiptables até produtos avançados, como o Cisco Firewall. Já o Snort-inline, é uma opção de compilação do SNORT e permite a alteração da forma como ele trata os pacotes, ao invés de registar e alertar ele faz um “drop” na conexão suspeita.

Trabalhando com um interface de correlação de eventos como o BASE podemos gerenciar a estatísticas de tentativas de intrusão para otimizar os nossos mecanismos de segurança.

OSSEC-HIDS

O OSSEC [4] é um Sistema de Detecção de Intrusão Open Source baseado em Host que possui como desenvolvedor principal o brasileiro Daniel Cid e tem como principais funções:

• Análise de Logs
• Integridade de Sistemas
• Detecção de rootkit
• Alertas e resposta ativa (regras no Firewall ou TCP Wrappers).

Em 2007 foi eleita, pela Linuxworld, a melhor ferramenta de segurança Open Source. Sua fácil instalação, totalmente intuitiva e fácil configuração com arquivo em formato XML, o transforma em uma excelente opção para monitoramento e auditoria de servidores.

Multiplataforma e sob a licença GPLv3, o OSSEC suporta uma vasta gama de logs, tais como: Unix pan, sshd (OpenSSH), Unix telnetd, Samba, Su, Sudo, Proftpd, Pure-ftpd, vsftpd, Solaris ftpd, Imapd and pop3d, Horde imp, Named (bind), Postfix, Sendmail, Iptables firewall, Solais ipfilter firewall, AIX , ipsec/firewall, Netscreen firewall, Snort IDS, Apache web server (access log and error log), IIS web server, Squid proxy, Windows event logs, Generic unix authentiction (adduser, logins, etc).

Ele possui os seguintes modos de atuação:

• Local – Monitora e análise somente o Host onde o Ossec está instalado.
• Servidor – Monitora e a analisa os logs enviados pelos Agentes.
• Agente – Funciona como cliente e envia todas as informações para o servidor processar e analisar. Veja a Figura abaixo.

O Ossec pode trabalhar em conjunto com o Snort, transformando o ambiente em um sistema de Detecção Híbrido, pois ele analisa os logs e alertas gerados pelo Snort, e os classifica de acordo com as assinaturas geradas e alerta ao administrador.

Conclusão

Seja para monitorar e analisar atividades suspeitas na rede ou realizar a auditoria na infraestrutura, de acordo com as vulnerabilidades existentes, um sistema de detecção de intrusão se faz fundamental para otimizar os controles de segurança da empresa e entender melhor as tentativas e vetores de ataques que vem surgindo ao longo do tempo. É bom frisar que a utilização de um IDS não atende a todas as necessidade de segurança de uma organização, sendo necessário utilizar outro mecanismo para auxiliar na Proteção de Perímetro.

Para saber mais:

Marcus Silva, Miguel Sampaio, Mário Antunes, Miguel Fraude. Estudo de Sistemas de Detecção de Prevenção de Intrusões – Uma abordagem Open Source (2006)
SNORT: http://www.snort.org
SnortSam: http://www.snortsam.net
OSSEC: http://www.ossec.net

Não só profissionais de TI e grandes corporações são alvos de ataques pela Internet. Qualquer usuário que tenha uma simples conexão caseira com a grande rede e não tome as devidas precauções está passível de ter seu computador comprometido.

Com o avanço do comércio eletrônico, atacantes buscam sistemas vulneráveis onde possam coletar senhas de banco, números de cartão de crédito e outros dados sigilosos. Além disso, uma vez que a máquina foi invadida, o atacante pode assumir total controle sobre o sistema e usá-lo como ponte para atividades ilícitas como ataques automatizados ou até repositório para todo e qualquer tipo de arquivo e senhas roubadas.

O Blog SegInfo disponibiliza aqui uma cartilha simplificada voltada especialmente para usuários não-técnicos. Nela, são apresentados breves lembretes com sugestões de softwares, dicas e boas práticas recomendadas para garantir a segurança de seus sistemas.

No próximo artigo sobre este tema será disponibilizado ainda uma lista com diversos programas e ferramentas indicados por parceiros e colaboradores que podem auxiliar a segurança de usuários domésticos e corporativos.

Foto: Imagem ilustrativa da palestra  ”Cultura de Segurança da Informação” por Clavis Segurança da Informação, CC-BY-NC-ND.

Passo 1 – Firewall

• Após a instalação do seu sistema operacional[1] escolhido, instale um firewall[2]. Conectar um sistema operacional não atualizado na internet (ou até intranet) não é recomendado, devido às possíveis vulnerabilidades de um sistema desatualizado.

Passo 2 – Mantenha seu sistema Atualizado

• Novas ameaças e vulnerabilidades são descobertas todos os dias, para proteger-se delas mantenha seu sistema operacional e seus aplicativos sempre atualizados.

• Procure por atualizações automáticas diretamente no programa ou sistema operacional, ou baixe as atualizações regularmente a partir do fornecedor oficial. Dê sempre preferência para o site oficial do fornecedor, ou para mirrors[4] credenciados pelo mesmo.

• Assine e acompanhe maillists e sites onde são divulgadas falhas e vulnerabilidades. O Blog SegInfo (http://www.seginfo.com.br) é uma boa opção.

Passo 3 – Cuidados com suas senhas

• Não divulgue e nem compartilhe – a senha é sua e de mais ninguém.

• Não escreva em local público ou de fácil acesso.

• Nunca use palavras de dicionários ou dados pessoais como senha.

• Crie senhas com mais de oito caracteres e que misture letras maiúsculas, minúsculas, números e caracteres especiais.

• Mude de senha regularmente, principalmente se utilizar máquinas administradas por pessoas que não sejam de sua confiança, inclusive se você não confiar em si mesmo no que tange a manutenção da segurança da informação de seu computador.

• Utilize um gerenciador de senhas, tal como o KeePass.

Passo 4 – Antivirus[5] e antispyware[6]

• Configure seu antivírus para procurar por atualizações sempre que seu computador estiver conectado à Internet.

• Faça pelo menos uma varredura completa no sistema por semana.

• Use seu antivírus em todo arquivo baixado antes de executá-lo, assim como em toda mídia removível conectada. Se possível, configure essas verificações para que sejam feitas automaticamente, assim como demais verificações passíveis de execução pelo software.

Passo 5 – Navegando na internet

• Utilize no navegador o bloqueador nativo de scripts ou use complementos que realizem tal atividade. Só autorize a execução de scripts de sites de sua confiança.

• Permita somente a execução de programas Java[7] e de ActiveX[8] de sua confiança.

• É recomendável uma limpeza esporádica dos cookies[9] do seu navegador.

• Ao acessar contas bancárias ou demais sites onde ocorra a troca de informações e dados sensíveis, lembre-se sempre de verificar a existência de conexão segura e de analisar o certificado digital (procure pelo cadeado no navegador e um informativo de certificado digital). Lembre-se sempre também de digitar o endereço destino, e nunca usar os links enviados por terceiros, tais como oriundos de e-mail, mensageiros instantâneos, etc.

• Em qualquer interação pela internet, seja por mídias sociais, mensageiros instantâneos, chats e canais de IRC, usem sempre o seu bom senso para determinar quais informações serão passadas por esses canais, assim como para tratar as informações recebidas. Além disso é recomendável se comunicar apenas com pessoas conhecidas.

• Os ataques mais populares dos últimos meses contra clientes e usuários foram dirigidos contra os navegadores e os Adobe Reader e Acrobat. Os usuários devem desabilitar a capacidade destes aplicativos rodarem JavaScript ou outros aplicativos que não sejam o texto .pdf ou o texto em html.

Passo 6 – Use sempre criptografia

• Mantenha o hábito de manter seus arquivos, principalmente quando armazenados em notebooks e mídia móveis (pendrive, DVD, etc), criptografados. Para facilitar esse processo existem programas que além de encriptar cada arquivo individualmente, também criam volumes ou containers encriptados, para um grande número de dados e/ou arquivos.

• Usem programas de encriptação, tal como o TrueCrypt.
  

Passo 7 – Correio eletrônico

• Passe sempre o antivírus em programas vindos por email, mesmo de fontes confiáveis.

• Verifique a procedência de emails com anexos duvidosos (de bancos, lojas ou provedores de serviços) observando o cabeçalho completo da mensagem. Caso utilize cliente de e-mail, configure seu cliente de email para não executar automaticamente programas ou scripts.

• Mesmo que tenha utilizado o antivírus, evite abrir arquivos enviados por fontes não confiáveis. Verifique se o remente é mesmo quem ele diz.

• Desconfie muito de arquivos executáveis recebidos (.exe, .bat, .zip), mesmo vindo de fontes confiáveis.

• Verifique a veracidade das informações e use sempre seu bom senso antes de repassar . O bom senso nessas horas será sua principal ferramenta.

• Desligar as opções de execução de JavaScript e de programas Java.

• Cuidado ao visualizar imagens armazenadas externamente aos e-mails. Com esse ato o remetente do e-mail tem a possibilidade de descobrir sua localização na internet (endereço IP[10]), além de outras informações sobre sua máquina, tais como sistema operacional, versões do mesmo, etc.

Passo 8 – Baixando Programas

• Baixe programas apenas do fornecedor oficial, ou para sites ou mirrors referenciados pelo mesmo.

• Se o programa for desconhecido por você, informe-se sobre o mesmo em páginas de busca e sites especializados antes de baixar ou executar qualquer programa. Pergunte também para amigos e familiares.

• Sempre passe seu antivírus atualizado em arquivos antes de executá-los pela primeira vez ou instalá-los, independente da origem ou indicação.

Passo 9 – Proteja seus dados pessoais

• Evite fazer cadastros pela Internet, especialmente fornecendo seus dados pessoais, a não ser que seja estritamente necessário.

• Nunca forneça informações sensíveis em sites sem que você tenha solicitado o serviço que o exige, e o faça somente se confiar no site e se o mesmo estiver utilizando criptografia (procure pelo cadeado no navegador e um informativo de certificado digital).

• Cuidado aos disponibilizar informações muito pessoais em sites de relacionamento (telefones móveis, endereços residenciais, etc).

Passo 10 – Faça backups

• Agende regularmente cópias de reserva (backup) de todos os seus dados importantes.

• Pense nas coisas que realmente lhe fariam falta caso perdesse tudo e cuide para que isso não aconteça.

• Discos rígidos, pendrives e CDs também dão defeito! Tenha sempre cópias redundantes e jamais confie em apenas uma mídia para armazenar seus dados mais importantes.

Passo 11 – Segurança Física

• Tenha um filtro de linha com suporte a queda de energia (no-break). Se não for possível, use ao menos um filtro de linha.

• Mantenha seu computador e cabos protegidos contra quedas e esbarrões.

• Mantenha seu computador e suas mídias (como pendrives, CDs e DVDs) em local seco, arejado e não muito quente nem muito frio, e sempre protegidos de fontes eletromagnéticas fortes.

Passo 12 – O mais importante

• Use sempre seu bom senso.

• O passo 1 não necessariamente vem antes do passo 4, e o passo 9 não necessariamente depois do passo 2. Essa cartilha é um guia, que contém uma série de sugestões, não uma regra ou uma verdade incontestável. Gostaria de opinar/criticar/sugerir/compartilhar? Será uma honra!

Agradecimentos: Mauricio Martins, Monteiro Junior e Victor Santos.

Glossário

[1] Sistema Operacional: Programa que gerencia as funções básicas de um computador, armazenamento e recuperação de informações. Ex. Windows, da Microsoft, Macinstosh da Apple e Linux.

[2] Firewall pessoal: Software ou programa utilizado para proteger um computador contra acessos não autorizados vindos da Internet. É um tipo específico de firewall, dispositivo constituído pela combinação de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores

[3] Vulnerabilidade: Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.

[4] Mirrors: Mirrors, em terminologia computacional, são sites espelhados, isto é, um servidor que contém um conjunto de arquivos que é uma duplicata do conjunto de arquivos existentes em outro servidor. Os “sites-espelho” existem para dividir a carga de distribuição entre os sites.

[5] Anti-virus: Sofware desenvolvido para detectar, anular e eliminar de um computador vírus e outros tipos de código malicioso.

[6] Anti-spyware: Software desenvolvido para combater spyware, adware, keyloggers entre outros programas espiões.

[7] Java: Linguagem de programação desenvolvida pela Sun Microsystems.

[8] Active-X: Linguagem de programação criada pela Microsoft que permite a inclusão de itens multimídia em páginas Web.

[9] Cookies: Um conjunto de informações que um site escreve no disco rígido do computador do cliente, que tem várias funções, tais como: armazenar as preferências do usuário para certos tipos de informação ou registrar informações relativa à sua visita no site.

[10] Endereço IP: Este endereço é um número único para cada computador conectado à Internet, composto por uma seqüência de 4 números que variam de 0 até 255, separados por um ponto. Por exemplo: 192.168.34.25.

Desde os tempos antigos, o homem percebeu a conveniência de se possuir técnicas para proteção à informação. Entre os egípcios, a codificação de mensagens de modo a torná-las incompreensíveis a cidadãos comuns conferia a estas mensagens um ar “sagrado”. Tal característica tornava técnicas de codificação ideais para serem aplicadas a hieróglifos presentes em tumbas de faraós e outros egípcios elevadas castas. De fato, as inscrições na tumba de Khnumhotep II são consideradas por muitos o primeiro exemplo de criptografia, pelo fato de apresentarem substituições de símbolos que, ao mesmo tempo, dificultam a leitura e tornam a escrita (supostamente) mais estética. Já o grego Heródoto relata o episódio em que Histieus raspa a cabeça de seu mais confiável escravo e tatua uma mensagem destinada a Aristágoras convocando um levante contra os persas. Uma vez crescido o cabelo do escravo, este pôde ser enviado ao seu destino e a mensagem, transmitida despercebidamente.

Foto: Logo do curso Fundamentos de Criptografia por Clavis Segurança da Informação, CC-BY-NC-ND.

1. Introdução
2. Modelos de Ameaças
3. Técnicas para proteção de software
   1. Ferramentas Criptográficas
   2. Ofuscação
   3. Diversidade de software
   4. Marca d’água
   5. Resistência à corrupção
4. Exemplos de proteção de software
   1. Proteção de Algoritmo Secreto
   2. Teste de integridade de software crítico
   3. Garantindo a origem do software
   4. Proteção anti-pirataria
   5. Criptografia de caixa-branca
5. Conclusão

Introdução

Desde os tempos antigos, o homem percebeu a conveniência de se possuir técnicas para proteção à informação. Entre os egípcios, a codificação de mensagens de modo a torná-las incompreensíveis a cidadãos comuns conferia a estas mensagens um ar “sagrado”. Tal característica tornava técnicas de codificação ideais para serem aplicadas a hieróglifos presentes em tumbas de faraós e outros egípcios elevadas castas. De fato, as inscrições na tumba de Khnumhotep II são consideradas por muitos o primeiro exemplo de criptografia [4], pelo fato de apresentarem substituições de símbolos que, ao mesmo tempo, dificultam a leitura e tornam a escrita (supostamente) mais estética. Já o grego Heródoto [3] relata o episódio em que Histieus raspa a cabeça de seu mais confiável escravo e tatua uma mensagem destinada a Aristágoras convocando um levante contra os persas. Uma vez crescido o cabelo do escravo, este pôde ser enviado ao seu destino e a mensagem, transmitida despercebidamente.

Os dois exemplos anteriores são emblemáticos porque exemplificam as duas abordagens clássicas desenvolvidas com o intuito de proteger informações. A primeira abordagem baseia-se no uso de técnicas de codificação pelas quais determinadas regras de “embaralhamento” de uma mensagem são mantidas ocultas. Apenas quem conhece a regra de “desembaralhamento” correspondente é capaz de recuperar a mensagem original. A segunda abordagem baseia-se no ocultamento da própria existência de uma mensagem – ou seja, tal mensagem passa despercebida, embarcada em um meio de comunicação qualquer. Tais abordagens evoluíram para duas técnicas distintas de proteção de informações, a saber, denominadas Criptografia e Esteganografia. Embora a criptografia, como ferramenta de proteção da confidencialidade, seja bem mais usada, atualmente, do que a Esteganografia, esta última encontra aplicação no cenário em que a simples existência de uma mensagem é uma informação a ser protegida.

As técnicas de criptografia e esteganografia refletem bem os requisitos de segurança da informação em “cenários clássicos”, nos quais o principal objetivo é proteger a informação enquanto ela está em trânsito ou armazenada – assumindo-se que os usuários finais de tal informação são confiáveis. O surgimento da computação leva à necessidade de modelos particulares para a avaliação da segurança da informação. A grande mudança de cenário é determinada pelo fato de que o “destinatário” de uma informação não é mais um indivíduo ao qual se pode atribuir um “grau de confiança”, mas um host qualquer, possivelmente, em ambiente hostil. Quando a informação a ser protegida está presente em software executado neste host hostil então o cenário é o mais crítico possível.

Proteger software armazenado em ambiente hostil é uma tarefa cuja solução guarda relações com a esteganografia e com a criptografia, mas que vai muito além destas técnicas clássicas. Guarda relação com a esteganografia porque o adversário – aquele que busca compreender o software e dele retirar informações sensíveis – não sabe, a priori, que tipo de informação está procurando, embora ele saiba que toda informação que possa interessar está contida naquele código binário. Guarda relação com a criptografia porque, para dificultar a tarefa do adversário de compreender o software, o proprietário do software deverá aplicar uma série de transformações sobre o código original que dificultem a tarefa de compreender este software – ainda que tais transformações não possam ser arbitrárias, sob pena de o código final simplesmente deixar de ser executável no host a que se destina.

Modelos de Ameaças

Um modelo de ameaça identifica as ameaças aos quais determinado sistema deve ser resistente. Um modelo de ameaças leva em consideração as classes relevantes de adversários – considerando seus recursos computacionais, financeiros e até mesmo intelectuais – assim outras hipóteses e condições ambientais. Um modelo de ameaças deve ser construído após uma adequada avaliação de riscos que determinará as ameaças ao sistema, as perdas potenciais e as probabilidades de determinados ataques e eventos. Ou seja, um modelo de ameaças é construído sobre um conjunto de hipóteses que, espera-se, são o mais próximo possível da realidade.

O modelo clássico de ameaças para comunicações em rede [6] assume a confiança total nos hosts finais da comunicação e vulnerabilidade de toda a cadeia de comunicação entre eles (incluídos, por exemplo, roteadores e meios físicos de comunicação). A adequação deste modelo a uma determinada aplicação dependerá das características do ambiente onde os hosts finais estão localizados – por exemplo, o modelo poderá ser inadequado se algum destes hosts é vulnerável a malwares ou se diversos indivíduos tem acesso físico a este host.

Descrevemos três modelos básicos [5] de ataques com grau crescente de exigência.

1. Modelo de ameaças em rede.
   Um número crescente de aplicações de software é conectada em rede – browsers, clientes de email, processadores de texto, planilhas eletrônicas etc. Tais aplicações fornecem funcionalidades baseadas na conexão a outros serviços e aplicações acessíveis por rede. Portanto, tais aplicações são vulneráveis a ataques externos remotos.
2. Modelo de ameaça “insider”.Aqui o atacante possui algum nível de acesso ao ambiente onde aplicativo é executado (por exemplo, está na mesma rede local) ou sobre o hardware que executa o aplicativo (podendo analisar, por exemplo, informações como consumo de tempo, energia etc.).
3. Modelo do host não-confiável.
   Assumindo que a aplicação está sendo executada em um host não-confiável, ela passa a ser sujeita a ataques originados do próprio host – ou seja, do sistema operacional, kernel, outras aplicações locais etc. O usuário possui privilégios locais totais, incluindo acesso ao código em execução e visualização dos recursos utilizados em tempo de execução.

A tabela abaixo resume as principais diferenças entre os modelos de ameaça. Outras diferenças incluem: os tipos de ferramentas disponíveis e os objetivos dos adversários.

Técnicas para proteção de software

Ferramentas criptográficas

As primitivas criptográficas continuam sendo estrelas também na proteção de software em hosts hostis. Cifras podem ser usadas para criptografar trechos críticos de programa – os quais podem ser decriptografados on the fly por software ou hardware. Hashes podem ser usados para verificar a integridade de um software. MAC e assinaturas digitais podem ser usados para identificar a origem de um módulo de software. No modelo de host não-confiável, no entanto, tais ferramentas criptográficas são utilizadas em conjunto com outras técnicas para atingir objetivos de segurança mais sofisticados.

Ofuscação

Ofuscar um programa refere-se a transformar seu código em um código de mais difícil compreensão mantendo, porém, as funcionalidades originais do programa [2]. Tais transformações podem ocorrer tanto no código-fonte – que posteriormente é compilado de maneira a gerar um binário mais complexo – como diretamente no código objeto. Alguns trabalhos propõem tranformações a serem aplicadas sobre “código intermediário”, visando, por exemplo, a proteção de Java bytecodes. Como sabemos, os Java bytecodes são uma espécie de código intermediário. Ou seja, embora prontos para serem executados em uma máquina virtual, não estão propriamente escritos em “linguagem de máquina”, o que torna sua compreensão bem mais simples que a compreensão de códigos binários. Neste cenário, a proteção de software torna-se ainda mais crítica, e o uso de técnicas de ofuscação é obrigatório para quem não quer ver as suas “classes” sendo chamadas em programas alheios.

Transformações de ofuscação variam desde as mais simples – como a simples insersão de código “inútil” com o objetivo de confundir a análise do programa – até as mais complexas – como transformações que redefinem fluxos de dados ou camuflam chamadas de procedimentos.

Diversidade de Software

A idéia da diversidade de software é bastante natural a partir da observação de sistemas biológicos: a variabilidade genética dos indivíduos de determinada espécie reduz as chances de toda a espécie ser dizimada por uma determinada ameaça biológica. Quanto maior a variabilidade genética, maiores as chances de haver indivíduos resistentes a cada ameaça.

A idéia é a mesma para software, especialmente num mundo em que proliferam softwares maliciosos. Se todos os computadores do planeta utilizassem a mesma versão de sistema operacional então, certamente, todos os softwares maliciosos do planeta seriam projetados para ela. E mais, uma vez que um software malicioso realmente efetivo fosse produzido, então todos os computadores do planeta estariam vulneráveis.

A idéia de diversidade software, dessa maneira quase “ideológica”, foi mencionada explicitamente por Cohen [1] em 1992, embora a idéia seja, certamente, muito mais antiga.

Atualmente, a idéia de diversidade ganha caráter mais objetivo. Considere o caso em que determinada informação secreta deve ser protegida em um software em execução – digamos, uma chave privada. Suponha que, após sofisticadas operações de transformação de código, o algoritmo criptográfico está tão ofuscado que a operação de recuperação de chave privada (para fins de assinatura de mensagem), busca os seu (digamos) 1024 bits em 1024 posições de memória distintas. Além disso, tais posições não são fixas, mas determinadas pelos bits de outras posições de memória – essas sim, fixas. Embora extremamente complexo, uma vez compreendido este algoritmo de recuperação da chave privada, o adversário pode reproduzir o algoritmo em todos os outros hosts cujo software foi ofuscado de maneira similar.

A idéia da diversidade de software se aplica, portanto, através da aplicação de transformações de ofuscação efetivamente distintas, de forma a criar diversas versões de software difíceis de compreender em absoluto e que, uma vez compreendidas, não fornecem informação que ajude a compreender outa versão do mesmo software gerada através de transformações de ofuscação distintas.

Marca d’água

Marcas d’áqua são informações embarcadas em arquivos de tal forma que se torna muito difícil removê-las através de pequenas modificações no arquivo. Idealmente, a marca d’água estaria tão ligada ao arquivo que qualquer região suficientemente do arquivo possuiria tal informação. Uma marca d’água poderia conter, por exemplo, o nome do desenvolvedor do software. Dessa forma, embora a marca d’água, por si só, não impeça um ato de violação de software, ela, no mínimo, desestimula tal ato e favorece a localização do violador do software. Além disso, marcas d’água podem conter informações de integridade de software, como por exemplo, um resumo criptográfico. Dessa forma, o software pode inserir, em rotinas críticas, “travas” que verificam a marca d’água de maneira a verificar se o software em execução está íntegro. Neste caso, a marca d’água é parte de um sistema de resistência à corrupção.

Resistência à corrupção

A ofuscação de um software busca proteção contra a engenharia reversa, cujo objetivo é a compreensão de determinado programa. A engenharia reversa é um primeiro passo anterior à modificação deste software com o objetivo de obter alguma espécie de vantagem. Detectar violações à integridade do software – possivelmente impedindo a execução de software corrompido – é objeto das técnicas de resistência à corrupção.

Existem diversas propostas de técnicas para a verificação da integridade de um software. Em determinadas abordagens, trechos críticos de um software podem ser mantidos em endereços fixos de memória, os quais seriam periodicamente verificados por módulos confiáveis. Outras abordagens baseiam-se no próprio comportamento do software para verificar se eles está íntegro, técnica denominada “reflexão de software”.

Verificação de integridade. Diz respeito a verificar se o software em execução corresponde a uma versão previamente autorizada. A forma mais simples de verificação de integridade é a leitura completa do código em execução e a comparação com as versões de software autorizadas. No entanto, tal abordagem nem sempre é possível ou prática, de maneira que outras abordagens – por exemplo, baseadas em comportamento do software – vem sendo investigadas.

Verificação de autenticidade. Uma técnica ligeiramente distinta do que chamamos verificação de integridade é a “verificação de autenticidade”. Enquanto verificação de integridade diz respeito ao processo de verificação de correspondência entre o software em execução em um host e o software previsto para estar em execução (software “íntegro”), a verificação de autenticidade diz respeito ao processo de verificação da entidade desenvolvedora de determinado software. A verificação de autenticidade tem aplicação clássica em sistemas que recebem carga remota de software. Idealmente, tais sistemas somente aceitarão carga de softwares desenvolvidos por entidades confiáveis. A verificação de autenticidade diz respeito exatamente a este processo.

Travas de software. Uma vez desenvolvida uma técnica que determina se um software está íntegro ou não, é possível desenvolver rotinas críticas que verifiquem a integridade do software antes de, efetivamente, entrarem em execução. Em tal cenário, mesmo que se determine a localização de determinada rotina ou função dentro de um binário, tal rotina/função não poderia ser reaproveitada maliciosamente em outro software, pois identificaria estar “fora” de seu software original.

Exemplos de proteção de software

Proteção de algoritmo secreto

Aplicação típica de fabricantes e desenvolvedores que querem proteger seus algoritmos – supostamente, vantagens competitivas – para que estes não possam ser reutilizados por concorrentes. A grande questão é: como protegê-las? Uma solução simples é simplesmente não distribuir tais algoritmos – ou seja, tal fabricante passa a vender o serviço gerado por seu software (possivelmente, através da Internet) e passa a distribuir simplesmente um aplicativo cliente que acessa um aplicativo servidor, este último responsável por executar o algoritmo e armazenado em um host confiável. Em certos cenários, tal solução é inviável. Considere, por exemplo, um software que deve ser embarcado em um equipamento (digamos, um osciloscópio) a ser vendido. Neste caso, se o algoritmo é realmente um diferencial competitivo, técnicas de ofuscação devem ser consideradas.

Teste de integridade de software crítico

Determinado software executa tarefa crítica e somente deve ser executado se se tem certeza de que todas as suas rotinas críticas estão íntegras. Neste caso, técnicas de resistência à corrupção devem ser empregadas de maneira a garantir que o software em execução é exatamente aquele que foi aprovado e autorizado para a execução desta tarefa.

Garantindo a origem do software

Determinado equipamento funciona através da execução de um software embarcado. Tal software deve poder ser, eventualmente, atualizado (para a correção de bugs ou inclusão de funcionalidades). No entanto, somente o fabricante de tal equipamento deve poder fazer tais atualizações. Neste caso, técnicas de verificação de autenticidade devem ser empregadas com o objetivo de garantir que nenhum adversário será capaz de alterar o software sobrescrevendo-o com uma versão maliciosa.

Proteção anti-pirataria

Um desenvolvedor de software quer simplesmente impedir que seu software ou módulos de seu software sejam reutilizados por concorrentes. Técnicas de watermarking não impedirão que o software seja utilizado por seu concorrente, mas ajudarão a rastrear o “desenvolvedor pirata”, o que, en conjunto com medidas legais, ajudam a reduzir o potencial fraudador de concorrentes. Para impedir que módulos de software (rotinas e funções) sejam reaproveitados, travas de software podem ser inseridas nas rotinas e funções críticas – acompanhadas por técnicas de ofuscação que dificultem a desativação destas travas.

Criptografia de caixa-branca

A chamada criptografia de caixa branca se refere a um cenário bastante específico: como manter a segurança de um esquema criptográfico implementado em um software embarcado em equipamento sob domínio alheio. Se o equipamento está em ambiente inseguro, aquele que o detém poderá ser capaz de analisar todo o seu software e sua memória – em particular, poderá verificar os algoritmos e as chave criptográficas.

Nesse ponto, um fato digno de menção é a facilidade de se encontrar chaves criptográficas armazenadas em memória. Uma chave criptográfica é uma ilha de aleatoriedade dentro de um mar de dados e informações altamente estruturadas. Conforme Someren e Shamir [7] nos mostram, a alta aleatoriedade e entropia das chaves criptográficas permitem que elas sejam localizadas rapidamente dentro de muitos gigabytes de dados.

O que fazer, então, no caso de um host que usa rotinas criptográficas para executar suas funções mas que está armazenado em ambiente inseguro – e, portanto, pode ter seu software e memórias analisados. Tal cenário é extremamente comum em aplicações baseadas em equipamentos com software embarcado. Frequentemente, tais equipamentos possuem um par chave pública / chave privada usado para fins de identificação / autenticação. Gostaríamos, portanto, que a chave privada fosse mantida em sigilo. O modelo de “ataques de caixa branca” é o mais severo possível, onde todos os detalhes de implementação são conhecidos, e que se contrapõe ao modelo tradicional de caixa preta, em que o “bloco de criptografia” do qual apenas entradas e saídas de dados podem ser observadas.

O ataque de caixa-branca assume que o adversário possui acesso total às implementações dos algoritmos criptográficos, pode verificar e alterar detalhes internos dos algoritmos, pode observar os aspectos dinâmicos da execução. O objetivo do adversário é recuperar a chave privada com o objetivo de utilizá-la em outra plataforma – por exemplo, para emular o comportamento do host cuja chave foi “roubada”. Fica claro que, neste cenário, o paradigma tradicional da criptografia falha em oferecer proteção. A última linha de defesa neste modelo de ataque é o uso de uma implementação complexa e ofuscada.

A criptografia de caixa branca levanta ainda outra questão interessante: uma vez que o adversário consegue ter sucesso na recuperação da chave privada de um host, quão difícil para ele será obter a chave privada de outros hosts. Idealmente, gostaríamos que o primeiro sucesso não fornecesse nenhuma informação a respeito de como obter novos sucessos, conceito algumas vezes referido como ortogonalidade. O caminho para a ortogonalidade parece ser a diversidade de software, ou seja, dados dois hosts diferentes executando o mesmo algoritmo criptográfico, as duas implementações são tão distintas que a engenharia reversa aplicada a um dos hosts em nada ajuda na engenharia reversa a ser aplicada no outro.

Conclusão

A maioria dos ataques efetivos a sistemas computacionais utiliza-se em vulnerabilidades de software. A indústria de software, por outro lado, está bastante atrasada em relação aos seus adversários no que diz respeito à proteção de software armazenado em hosts não-confiáveis. Avanços efetinos na área de proteção de software demandam um esforço interdisciplinar em Ciência da Computação, envolvendo áreas distintas tais como linguagens de programação, sistemas operacionais, engenharia de software e criptografia. O presente artigo apresenta alguns dos conceitos associados ao problema de proteção de software.

Para saber mais

1. ^ F. Cohen. Operating System Protection Through Program Evolution. Computers
   and Security 12 (1993) 565-584.
2. ^ C. Collberg, C. Thomborson, D. Low. A Taxonomy of Obfuscating Transformations. Technical Report 148 (1997) Department of Computer Science, University of Auckland.
3. ^ Herodotus. The Histories. J. M. Dent & Sons (1992).
4. ^ D. Kahn. The CodeBreakers: The Story of Secret Writing. Macmillan (1967).
5. ^ A. Main, P.C. van Oorschot. Software Protection and Application Security: Understanding the Battleground. Procedings of the International Course on State of the Art and Evolution of Computer Security and Industrial Cryptography (2003).
6. ^ E. Rescorla. SSL and TLS: Designing and Building Secure Systems. Addison Wesley (2001).
7. ^ A. Shamir, N. van Someren. Playing hide and seek with stored keys. Proceedings of the Third International Conference on Financial Cryptography (1999) 118–124.

Foto: Logo do curso Fundamentos de Criptografia por Clavis Segurança da Informação, CC-BY-NC-ND.