UIA3

VERSÃO PARA IMPRESSÃO
SEGURANÇA DE REDES DE COMPUTADORES

UIA 3 | SEGURANÇA NA INTERNET
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 2
Este material é destinado exclusivamente aos alunos e professores do Centro Universitário IESB,
contém informações e conteúdos protegidos e cuja divulgação é proibida por lei. O uso e/ou
reprodução total ou parcial não autorizado deste conteúdo é proibido e está sujeito às
penalidades cabíveis, civil e criminalmente.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

SUMÁRIO
Aula 13 | Segurança na Internet ................................................................................................................6

13.1. Internet e Segurança .....................................................................................................................6
13.2. A internet e o panorama atual .....................................................................................................6
13.3. Acesso em banda larga .................................................................................................................7
13.3.1. Modem bridge .......................................................................................................................................................... 7
13.3.2. Modem router ........................................................................................................................................................... 7
13.4. Principais erros ..............................................................................................................................7
13.5. Ameaças frequentes ......................................................................................................................8
13.5.1. Vírus .............................................................................................................................................................................. 8
Tipos de vírus ..................................................................................................................................................................... 9
Impactos .............................................................................................................................................................................. 9
Prevenção ............................................................................................................................................................................ 9
13.5.2. Worms ........................................................................................................................................................................ 10
13.5.3. Cavalo de Troia ....................................................................................................................................................... 11
Classificação...................................................................................................................................................................... 11
O que um trojan pode fazer? ...................................................................................................................................... 12
Trojans mais famosos: ................................................................................................................................................... 12
Prevenção: ......................................................................................................................................................................... 12
13.5.4. Spyware ..................................................................................................................................................................... 13
Meios de infecção ........................................................................................................................................................... 13
Prevenção .......................................................................................................................................................................... 14
13.5.5. Malware ..................................................................................................................................................................... 14
Prevenção .......................................................................................................................................................................... 14
13.5.6. Mobile Malware ...................................................................................................................................................... 14
Prevenção: ......................................................................................................................................................................... 15
Dicas de comportamento ............................................................................................................................................ 16
13.6. Vulnerabilidades ........................................................................................................................ 16
13.6.1. Vulnerabilidades do protocolo TCP/IP sem solução perfeita ................................................................ 17
SYN flood ........................................................................................................................................................................... 17
Ataques Smurf ................................................................................................................................................................. 17
13.7. Motivação ................................................................................................................................... 18
13.8. Ameaças atuais ........................................................................................................................... 19
13.8.1. Fraude on-line ......................................................................................................................................................... 19
Scam (golpe virtual) ....................................................................................................................................................... 19
Phishing.............................................................................................................................................................................. 19
Formas atuais de phishing .......................................................................................................................................... 20
Aula 14 | Criptografia .............................................................................................................................. 21
14.1. Criptografia ................................................................................................................................. 21
14.2. Código de Cesar .......................................................................................................................... 21
14.3. Esquema de codificação............................................................................................................. 22
14.4. Criptografia simétrica ................................................................................................................ 22
14.5. Criptografia Assimétrica ............................................................................................................ 24
14.6. Tamanho das chaves .................................................................................................................. 25
14.7. Algoritmos Hash ......................................................................................................................... 26
14.7.1. MD5 ............................................................................................................................................................................ 26
14.7.2. SHA ............................................................................................................................................................................. 27
14.8. Modos de operação de algoritmos criptográficos ................................................................... 27
14.9. Falhas nos sistemas criptográficos ........................................................................................... 27
14.10. A Criptografia Simétrica X Criptografia Assimétrica ............................................................. 28
14.11. Assinatura digital ..................................................................................................................... 28

14.12. Certificados digitais ................................................................................................................. 29

14.12.1. Obtendo certificado de usuário ..................................................................................................................... 29
14.12.2. Geração de um certificado ............................................................................................................................... 30
14.12.3. Revogando o certificado do usuário ............................................................................................................ 31
Aula 15 | Sistema de detecção de intrusos – IDS ................................................................................... 31
15.1. Sistemas de Detecção de Intrusos (IDS).................................................................................... 31
15.1.1. Quanto ao modo de funcionamento ............................................................................................................. 32
Detector de anomalias .................................................................................................................................................. 32
Analise de Assinaturas .................................................................................................................................................. 32
15.1.2. Quanto ao local de atuação ............................................................................................................................... 33
Baseados em servidor ................................................................................................................................................... 33
Baseados em redes......................................................................................................................................................... 33
15.1.3. Quanto à forma de atuação ............................................................................................................................... 34
Reativos .............................................................................................................................................................................. 34
Passivos .............................................................................................................................................................................. 34
Sistemas Híbridos ........................................................................................................................................................... 34
15.1.4. Características de um IDS ................................................................................................................................... 35
15.1.5. A Terminologia ....................................................................................................................................................... 35
15.1.6. Prováveis erros ....................................................................................................................................................... 35
15.2. Ferramentas HIDS ...................................................................................................................... 36
15.3. Ferramentas HIDS ...................................................................................................................... 37
15.3.1. Snort ........................................................................................................................................................................... 38
Arquitetura do snort ...................................................................................................................................................... 38
Aula 16 | Sistema de Prevenção de Intrusos - IPS ................................................................................. 40
16.1. Intruso ......................................................................................................................................... 41
16.1.1. Técnicas de Intrusão ............................................................................................................................................. 41
16.2. O que é um IPS ............................................................................................................................ 42
16.2.1. Diferenças entre IDS e IPS................................................................................................................................... 42
16.2.2. Funcionamento ...................................................................................................................................................... 43
16.2.3. Tipos de IPS .............................................................................................................................................................. 43
HIPS (Host Intrusion Prevention System) ............................................................................................................... 43
NIPS (Network Intrusion Prevention System) ....................................................................................................... 44
16.2.4. Tipos de Detecções de um IPS .......................................................................................................................... 44
Sistemas de Detecção de Intrusão baseado em anomalias ............................................................................ 44
Sistemas de Detecção de Intrusão baseado em assinaturas .......................................................................... 45
Assinaturas voltadas para exploit ............................................................................................................................. 45
Assinaturas voltadas para vulnerabilidade ........................................................................................................... 45
A detecção de intrusão Híbrida ................................................................................................................................. 45
16.2.5. Prevenção ................................................................................................................................................................. 45
16.3. Sistemas de Detecção e Prevenção de Intrusão (IDPS) ........................................................... 46
16.3.1. Análise Detalhada de Tráfego ........................................................................................................................... 47
16.3.2. Tipos de IDPS........................................................................................................................................................... 47
Aula 17 | Honeypots e Honeynets .......................................................................................................... 47
17.1. Honeypot .................................................................................................................................... 48
17.1.1. Honeypot de baixa interatividade ................................................................................................................... 48
17.1.2. Honeypot de alta interatividade ...................................................................................................................... 49
17.1.3. Tipos de Honeypots .............................................................................................................................................. 50
Honeypots de Pesquisa ................................................................................................................................................ 50
Honeypots de Produção .............................................................................................................................................. 50
17.1.4. Ferramentas Honeypots...................................................................................................................................... 51
17.1.5. Localização dos honeypots ................................................................................................................................ 51
17.2. Honeynet ..................................................................................................................................... 53
17.2.1. Honeynets reais ...................................................................................................................................................... 53
17.2.2. Honeynets virtuais ................................................................................................................................................ 54

Aula 18 | VPN ............................................................................................................................................ 56
18.1. VPN .............................................................................................................................................. 56
18.2. Objetivos de uma VPN ............................................................................................................... 57
18.3. Algumas implementações específicas de aplicações VPN ...................................................... 57
18.3.1. VPN PPTP .................................................................................................................................................................. 57
18.3.2. L2TP ............................................................................................................................................................................ 59
18.3.3. IPSec ........................................................................................................................................................................... 59
Arquitetura ........................................................................................................................................................................ 60
Protocolo ESP (Encapsulating Security Payload .................................................................................................... 60
Protocolo AH (Authentication Header) .................................................................................................................... 60
Algoritmo de criptografia ............................................................................................................................................ 60
Algoritmo de autenticação ......................................................................................................................................... 60
Gerenciamento de chaves ........................................................................................................................................... 60
Domínio de interpretação ........................................................................................................................................... 61
Modos de operação do IPSec ...................................................................................................................................... 61
Protocolos IPSec .............................................................................................................................................................. 61
Encapsulating Security Payload (ESP) ....................................................................................................................... 63
Authetication Header (AH) .......................................................................................................................................... 63
18.3.4. VPN SSLA .................................................................................................................................................................. 63

Aula 13 | SEGURANÇA NA INTERNET
A presença da internet em nosso cotidiano seja em

que área for é algo inegável. Estamos totalmente
conectados. Se não temos um dispositivo temos as
nossas informações trafegando pela grande rede. E
hoje, para grande parte da população é muito difícil
imaginar como seria a nossa vida sem poder usufruir
das diversas serviços, facilidades e oportunidades que
vieram com toda esta tecnologia. Por meio da
Internet podemos, entre outras infinidades de
atividades: buscar conhecimento, acessar sites de
esportes e noticias, usar serviços bancários, falar com Fonte: http://tinyurl.com/gqmutsk
nossos representantes no governo, usar serviços
disponibilizados pelo governo, fazer compras, brincar, jogar assistir filmes. Enfim esta lista vai longe.
Entretanto, toda esta facilidade pode ter um custo. O custo da segurança com as nossas informações e
nossos dispositivos em uso.
13.1. INTERNET E SEGURANÇA

Atualmente a segurança tornou-se um item obrigatório. Usar a internet sem um antivírus ou um firewall
pessoal é quase um pedido para ser infectado ou invadido.
Instalar um Sistema Operacional em uma máquina conectada diretamente à internet pode

levar a um comprometimento em poucos minutos. Esse é o panorama atual da rede: um
lugar público onde, junto com aquela informação valiosa de que tanto precisamos, existe
um mundo de hackers, crackers, vírus, worms e outras ameaças. A rede ainda pode ser
usada de forma segura, desde que cuidados básicos sejam tomados.
Veremos quais são as ameaças do dia a dia, como elas funcionam e as formas de se proteger contra elas.
Além disso, veremos as estatísticas dos incidentes de segurança, diversas fontes de informação diária
sobre segurança e o perfil das pessoas que ameaçam a segurança da rede.
13.2. A INTERNET E O PANORAMA ATUAL

Demandas cada vez maiores por conexões mais rápidas (banda larga).
Com a disponibilidade de novos serviços e com a maximização de usos de variados dispositivos, as

estações se tornam “atraentes” para invasores. O uso da banda larga permite também ao atacante o uso
de novos e maiores recursos inclusive computacionais.
Outro ponto que o uso intensivo de variados dispositivos facilita o roubo de identidade. Cada vez temos
mais informações pessoais nos dispositivos móveis.

Com o uso intensivo destes dispositivos mais e mais fazemos uso da internet publica e de redes wifi dos
mais variados locais. A pergunta “qual a senha do wifi daqui?” tem sido uma constante nas nossas idas e
vindas nos mais variados tipos de estabelecimentos visitados.
Esta aparente despreocupação dos usuários no uso da internet pública facilita o surgimento de cada vez
mais ameaças através de hackers, crackers, vírus, worms, entre outros.
13.3. ACESSO EM BANDA LARGA

13.3.1. MODEM BRIDGE
Utiliza o modem bridge ADSL no modo padrão de configuração da operadora.
Vantagens:
• Computador pode disponibilizar serviços.
• IP fixo pode usar DNS.

Desvantagens:
• IP dinâmico usando DDNS.
• Exige segurança reforçada.
• Computador pode ser acessado diretamente da internet.
13.3.2. MODEM ROUTER

Utiliza o modem router ADSL.
Vantagens:
• Modo de operação mais seguro.
• Computador não é acessado diretamente a partir da internet.
• Proporciona acesso a uma rede interna (intranet).
• IP fixo pode usar DNS.

Desvantagens:
• Router deve usar firewall.
• Computador deve usar NAT para disponibilizar serviços.
• IP dinâmico usando DDNS.
13.4. PRINCIPAIS ERROS

Mesmo erros conhecidos são recorrentes, tanto de projeto como de administração de sistemas. Os erros
facilitam a atividade dos invasores; todavia, mesmo sem cometer erros a possibilidade de ameaça
continuará existindo.

Erros simples são cometidos tais como: conectar sistemas na internet sem testá-los; conectar com contas
e senhas padrão; não atualizar erros de segurança, quando estes são encontrados e divulgados; deixar
que pessoas sem o devido treinamento cuidem de segurança; deixar serviços desnecessários nos
computadores (Ftpd, telnetd, fi nger, RPC, mail e RServices); manter no servidor ligado à internet a base
de arquivos da empresa, não diferenciando serviços de LAN e WAN; conhecer a segurança física, mas
desconhecer segurança de informação e lógica; falta de ambiente de laboratório, de teste; manter
somente um firewall protegendo a rede, acreditando que é suficiente; permitir o uso indiscriminado de
protocolos específicos, como o ICMP; implementar firewalls com políticas genéricas; usar protocolos não
seguros para administrar sistemas remotos, firewalls etc; não idealizar perímetros para melhorar a
segurança da rede; não ter servidores com horário sincronizado.; não ter concentradores de logs e
analisadores dos registros de logs; possuir um concentrador e logs, mas com os horários dos servidores
não sincronizados; achar que, se esquecendo dos problemas, eles somem rapidamente; falhar na
implementação de antivírus ou listas de vírus; falhar na capacitação e conscientização dos usuários.
13.5. AMEAÇAS FREQUENTES

• Vírus
• Worms
• Trojans
• Spywares
• Hackers, crackers e outros
13.5.1. VÍRUS
É um software malicioso que é desenvolvido por programadores que infecta o
sistema de computador, faz cópias de si mesmo e tenta se espalhar para outros
computadores, utilizando-se de diversos meios.
A grande maioria das contaminações ocorre pela ação do usuário,

que executa o arquivo infectado recebido muitas vezes como
anexo de um e-mail. A contaminação também pode ocorrer por
meio de arquivos infectados em pen drives, CDs e outros. Outra
causa de contaminação é por Sistema Operacional desatualizado,
sem correções de segurança, que poderiam corrigir
vulnerabilidades conhecidas.
Fonte: http://tinyurl.com/jxflvyk
Apesar de existirem vírus para outros Sistemas Operacionais (Linux, MacOS e PalmOS), essa quantidade é
infinitamente menor, quando comparamos com a quantidade de vírus do sistema Windows.
Diversos fabricantes de produtos de segurança disponibilizam programas chamados antivírus. Um
antivírus é um programa capaz de detectar e remover os vírus de uma estação. Muitos deles possuem
recursos avançados, como verificação de vírus em correio eletrônico e a verificação em tempo real dos
arquivos que estão sendo executados pelo Sistema Operacional.

Alguns desses fabricantes e seus sites:

Symantec: http://tinyurl.com/jo8njmo
McAfee: http://tinyurl.com/zhb93uj
Trend Micro: http://tinyurl.com/mb3zaec
F-Secure: http://tinyurl.com/gsm3yt8
Um antivírus detecta os vírus em arquivos através de assinaturas de vírus, que são conjuntos de
informação que identificam unicamente um determinado vírus. Essas assinaturas devem ser
frequentemente atualizadas, de modo que antivírus seja capaz de detectar os vírus mais recentes
TIPOS DE VÍRUS
• Vírus de boot: Fixa-se num setor onde está localizado o código de boot do micro (inicialização).
• Vírus de arquivo: Fixa-se em arquivo de programa executável.
• Vírus de macro: Vincula macros a modelos de documento (templates) e outros arquivos.
• Vírus parceiro (companion virus): junta-se ao Sistema Operacional (programa “.com” roda
primeiro que “.exe”).
• Vírus multipartido: Combinação do vírus de boot e do vírus de arquivo. Infecta tanto arquivo
quanto área de boot.
IMPACTOS
Um vírus pode provocar:
• Perda de desempenho do micro; exclusão de arquivos e alteração de dados.
• Acesso a informações confidenciais por pessoas não autorizadas.
• Perda de desempenho da rede (intranet e internet).
• Desconfiguração do Sistema Operacional; acionamento e desligamento de periféricos da máquina.
PREVENÇÃO
A forma de manter uma prevenção proativa é:
• Implantar política de uso de antivírus nas estações de trabalho.
• Manter antivírus sempre atualizado via internet.
• Varrer os discos rígidos com o antivírus no mínimo uma vez por semana.
• O antivírus deve checar os e-mails on-line que chegam e saem.
• Não abrir arquivo anexado em e-mail com extensão perigosa.

• Habilitar técnica de antispam no antivírus.

Bons antivírus gratuitos:
• Kaspersky: http://tinyurl.com/hmgyp3n
• Avira AntiVir: http://tinyurl.com/h7726me
Antivírus on-line:
• Trendmicro: http://tinyurl.com/2xis
• F-Secure: http://tinyurl.com/ps4eznm
• Bit Defender: http://tinyurl.com/zp8xy2l
Assista aos vídeos para saber mais sobre vírus:

http://tinyurl.com/hahujfv
http://tinyurl.com/ztbgjdy
http://tinyurl.com/h37whp6
13.5.2. WORMS
O worm (verme) é um programa semelhante aos vírus, com a diferença de ser
auto-replicante, ou seja, ele cria cópias funcionais de si mesmo e infecta outros
computadores.
Tal infecção pode ocorrer através de conexões de rede locais, Internet ou anexos de e-mails. Alguns
worms infectaram centenas de computadores por meio das redes sociais MySpace e Facebook. Ele
infecta uma estação em vez de infectar arquivos. É um programa que não precisa da intervenção humana
para se propagar. Difere do vírus porque não precisa se fixar em arquivo ou setor. Rasteja pela rede
tentando infectar outras estações, podendo utilizar múltiplas formas de replicação, tornando-se muito
eficiente.
A contenção da propagação dos worms depende muito das atualizações feitas no Sistema Operacional.
Como essas atualizações não são realizadas pelos administradores e usuários na maioria dos casos,
contaminações são frequentes sempre que um novo worm é lançado na internet. Entretanto, na grande
maioria dos casos, o worm explora vulnerabilidades já conhecidas pelos fabricantes, que disponibilizam
em seus sites as atualizações que as eliminam.
• O worm Code Red infectou em 19 de julho de 2001 mais de 359 mil computadores em menos de
14 horas.
• O worm SQL Slammer infectou 75 mil computadores em 10 minutos em 2003.
• O worm Confiker infectou mais de 10 milhões de máquinas em janeiro de 2009.
A prevenção contra os worms é feita da mesma forma que a do vírus, mantendo os

computadores e sistemas atualizados e com o uso dos antivírus.

Assista aos vídeos

http://tinyurl.com/lqnp9rb
http://tinyurl.com/guf3xq9
13.5.3. CAVALO DE TROIA

Cavalos de Troia são programas maliciosos que executam ações não autorizadas
pelo usuário. Entre essas ações estão: excluir dados, bloquear dados, modificar
dados, copiar dados, atrapalhar o bom desempenho dos computadores ou das
redes.
Diferentemente dos vírus e worms de computador, os cavalos de Troia não são capazes de se
autopropagar. Cavalo de troia (trojan horse) é um programa que promete uma ação ou funcionalidade,
executando outra totalmente diferente. Pode parecer ou simular programas legítimos. Tem o objetivo de
enganar as pessoas, permitindo acesso e roubo de informações em seus computadores.
CLASSIFICAÇÃO
Os cavalos de Troia são classificados conforme o tipo de ação executada em seu computador:
Um cavalo de Troia backdoor permite o controle remoto do computador infectado

por usuários maliciosos. Ele permite que o autor faça o que quiser no computador
infectado, como enviar, receber, abrir e excluir arquivos, exibir dados e reiniciar o
Backdoor
computador. Cavalos de Troia backdoor são geralmente usados para reunir um
grupo de computadores para formar uma rede de botnets ou zumbis que possa ser
usada para fins criminosos.
Exploits são programas que contêm dados ou códigos que tiram proveito de uma
Exploit vulnerabilidade dentro do aplicativo executado no seu computador.
Rootkits são desenvolvidos para camuflar certos objetos ou atividades no seu

sistema. Em geral, sua principal finalidade é impedir que os programas maliciosos
Rootkit
sejam detectados. Assim, conseguem estender o período em que eles podem ser
executados em um computador infectado.
Estes programas conduzem ataques de DoS (Denial of Service, negação de serviço)

contra um endereço da Web desejado. Ao enviar diversas solicitações – do seu
Trojan-DDoS
computador e diversos outros computadores infectados – o ataque pode dominar o
endereço de destino, causando uma negação de serviço.
Estes programas são usados pelos hackers para instalar cavalos de Troia e/ou vírus,
ou então para impedir a detecção dos programas maliciosos. Nem todos os
Trojan-Dropper
programas antivírus são capazes de verificar todos os componentes contidos nesse
tipo de cavalo de Troia.
Trojan-Ransom Este tipo de cavalo de Troia pode modificar dados no seu computador para que ele
não funcione corretamente ou para que você não consiga usar certos dados. O
criminoso só irá restaurar o desempenho do seu computador ou desbloquear seus
dados depois que você pagar a quantia exigida por ele.
Existem muitos outros tipos.
Um exemplo de trojan bastante conhecido é o NetBus. O NetBus não é o único dentre os programas
deste tipo. Há dezenas deles. São conhecidos genericamente como backdoors (programas para
monitoração remota sem a autorização do usuário). Utilizando o protocolo TCP/IP, o NetBus cria uma
porta de conexões e fica esperando conexões nessa porta para, através dela, dar acesso a quase todos os
controles da máquina a quem o acessar.
A máquina infectada fica com o NetBus Server cujo arquivo, por default, utiliza o nome de Patch.exe. O
invasor, ou seja a pessoa que irá acessar essa máquina remotamente e que provavelmente implantou o
NetBus no sistema, utiliza o NetBus Cliente, denominado NetBus.exe. Um perigo se cair em mãos mal-
intencionadas, porém sendo muito útil em assistência remota.
Alguns cavalos de troia são divididos em duas partes: servidor e cliente: A vítima executa arquivo
hospedeiro; o servidor é instalado e ocultado no computador; O cliente acessa o servidor e executa
operações no computador da vítima; É aberta uma porta de comunicação não monitorada (backdoor).
O QUE UM TROJAN PODE FAZER?

• Expor usuário a esquemas fraudulentos via página de site.
• Encontrar arquivos: vê-los, copiá-los, alterá-los ou apagá-los.
• Registrar o que se escreve e enviar essa informação para outro computador.
• Capturar vídeo e áudio de dispositivos ligados ao computador.
• Executar ou encerrar um programa, processo ou conexão no computador.
• Criar janelas pop-up para aborrecer ou conduzir a websites maliciosos.
• Atacar outros computadores.
TROJANS MAIS FAMOSOS:

• Back Orifice;
• NetBus;
• WinCrash.
PREVENÇÃO:
• Não revelar seu endereço de correio eletrônico a desconhecidos.
• Evitar incluir seu endereço de correio eletrônico em listas extensas de endereços.
• Usar software fidedigno de empresas conceituadas (não usar software pirata).

• Manter o computador atualizado: Windows update on-line e Linux update on-line.
• Para prevenir-se é preciso usar software de segurança recente e mantê-lo instalado e atualizado:
Antivírus; Firewall; Antispyware.
• Ao instalar programas no micro, escolha um diretório diferente do padrão; por exemplo, ao
instalar Windows, escolha diretório diferente de “C:\windows\”.
• Trocar senhas assim que for invadido ou suspeitar de uma invasão;
• Não usar ou desabilitar a opção “salvar senha” onde for possível.
• Para verificar as portas que estão abertas na máquina: execute no Windows: C:\netstat –ab); no
Linux execute: # netstat –atunp (Linux).
Assista ao vídeo
http://tinyurl.com/j7ucc3o
13.5.4. SPYWARE
Programa que se instala de maneira furtiva, trazido por outro programa. Difere
do trojan, pois não tem objetivo de deixar que o sistema do usuário seja
dominado externamente por um cracker. Monitora o usuário, capturando
informações confidenciais, hábitos de consumo, senhas bancárias, informações
de cartões de crédito etc.
Os spywares (programas espiões) são associados a adwares. Os adwares são conhecidos por trazerem
para a tela algum tipo de propaganda. Inicialmente os adwares procuravam exibir propagandas em
janelas, chamadas de banners. Passaram a monitorar a atividade do usuário na internet, podendo
mostrar propagandas personalizadas, enviar dados sobre hábitos do usuário a certos sites, tendo então
funções de spyware e adware, de forma simultânea.
Certos adwares passaram a exibir janelas do tipo pop-up. Passaram a se instalar no navegador do usuário,
acrescentando certas funcionalidades duvidosas, principalmente no Internet Explorer. Sofisticaram-se,
incluindo propagandas persistentes, com inúmeras variantes. Sua desinstalação
passou a ser uma tarefa bastante penosa ou mesmo impossível, sem ajuda externa. Isso levou os usuários
a classificá-los como pragas ou spywares, e não mais como simples adwares.
MEIOS DE INFECÇÃO
• Download não intencional em programas shareware e freeware (usuário não lê o que esta
baixando).
• Através de infecção de vírus e worms.
• Instalações automáticas de alguns programas (usuário realiza a instalação clicando no botão

“seguinte” sem ler as telas).

PREVENÇÃO
• Usar programas antispyware em conjunto com antivírus;
• Verificar configurações de segurança do navegador;
• Ler cuidadosamente anúncios em janelas pop-ups;
• Não instalar programas antes de conhecer as credenciais de quem o forneceu.

Spywares podem vir acompanhados de hijackers. Hijackers (”sequestradores”) são Cavalos de Tróia que
modificam a página inicial do navegador e, muitas vezes, também redirecionam toda página visitada
para uma outra página escolhida pelo programador da praga.
Exemplos de spyware: GAIN, Aurora.
Assista aos vídeos e saiba como se proteger:

http://tinyurl.com/zcv5nb7
13.5.5. MALWARE
Junção de duas palavras: “malicious” e “software”. Utilizado para designar
qualquer tipo de software que atue contra o usuário. Podem ser vírus, spywares,
trojans ou worms de todos os tipos e categorias..
Existem malwares para todos os tipos de computadores existentes hoje, não importando marcas e
modelos. Já existem provas de conceito sobre malwares em consoles de vídeo games inclusive.
Mesmo existindo diversas categorias de softwares maliciosos, como demonstrado anteriormente, o
termo malware começou a ser vastamente utilizado de forma incorreta. A frase “fui vítima de um
malware” indica que uma pessoa foi vítima de um programa malicioso, não importando se é um vírus,
worm ou trojan. Deixemos as definições corretas para os especialistas.
PREVENÇÃO
• Tenha sempre um software do tipo antivírus instalado;
• Evite softwares piratas e/ou de procedência desconhecida;
• Mantenha o sistema operacional atualizado.
13.5.6. MOBILE MALWARE

Também conhecido “genericamente” como vírus para celular. Utilizando as
técnicas de um cavalo de troia, incentivam o usuário a instalar o programa
malicioso. Podem fazer tecnicamente qualquer coisa com o aparelho da vítima.
Com as mudanças da tecnologia e de hábitos, aparelhos portáteis como celulares estão ficando cada vez
mais populares e potentes, além de estarem sempre conectados à internet.

Após a pessoa fazer o download e instalação do aplicativo malicioso, o aparelho já está comprometido.
Saber quais as reais intenções ou ações desses programas é bem
difícil. O atacante pode ter controle total do aparelho celular da
vítima. Assim pode efetuar ligações, ver, apagar e remover
contatos, mensagens e fotos.
Na Europa existem muitas fraudes associadas a serviços do tipo
“premium rate phone”, conhecidos no Brasil como 0900 (serviços
telefônicos de valor adicionado). Após invadido, o telefone da
vítima passa a ligar para esses números. No final do mês, alguém
terá de pagar a conta. O golpe tem maior sucesso quando a vítima
Fonte: http://tinyurl.com/hrftppy
possui um aparelho de celular pago pela empresa, e nem a vítima
nem a empresa controlam essa conta.
A ameaça mais básica para o seu celular são malwares dedicados a roubar informação e se
valer da sua identidade para mandar spams, comprar produtos, serviços e outros
problemas semelhantes. Normalmente eles se disfarçam na forma de aplicativos úteis,
versões gratuitas de softwares pagos com linhas de código alterada. Apesar disso, é muito
raro que eles consigam passar o crivo das lojas oficiais como o Google Play e a App Store.
As empresas responsáveis por estes sistemas dedicam muito tempo e esforço para manter sua oferta de
aplicativos livres deste tipo de esquema, ainda que a Google tenha mais dificuldade neste front graças à
natureza livre do seu OS.
Outros tipos de vírus que afetam celulares, ainda que sejam mais incomuns aqui no Brasil, são aqueles
oriundos de SMS. Eles ocorrem quando você recebe uma mensagem com anexos, uma imagem ou outra
coisa que precise ser aberta, e este arquivo em questão pode ser um tipo de malware. Mesmo quando
você conhece quem enviou a mensagem, isso não torna o arquivo mais seguro, já que, uma vez dentro
do seu aparelho, ele ganha acesso aos seus privilégios e sua lista de contatos, podendo enviar
mensagens para todos os seus conhecidos.
PREVENÇÃO:
• Escolha fontes de distribuição de softwares confiáveis;
• Utilize um software antivírus;
• Desconfie de ações ou atividades suspeitas em seu aparelho;
• A economia é sempre inimiga da segurança.
• Cuidado na hora de navegar
Assista aos vídeos

http://tinyurl.com/go499nm
http://tinyurl.com/gpneqkf

DICAS DE COMPORTAMENTO
Dicas de comportamento humano nem sempre são fáceis de atender (sempre há um risco). Por mais que
tomemos cuidado sempre existe risco. O que fazemos em nosso dia a dia é minimizar esse risco.
Independente da plataforma ou Sistema Operacional, a situação fica difícil quando necessitamos utilizar
um software (qualquer). Não temos como saber se existem componentes maliciosos no software ou se
ele irá fazer alguma ação inesperada.
É difícil até de saber onde, durante a instalação desse software, foram colocados seus arquivos, se
desejarmos removê-lo futuramente. Já existiram casos de softwares que saíram das empresas
desenvolvedoras infectados, assim como pendrives que saíram da fábrica com malwares. Nenhum desses
fatos foi intencional. Isso demonstra que existem situações que não podemos evitar, porém, quanto
maior o cuidado que tenhamos, menores serão as chances de termos dores de cabeça.
Leia o texto no site:

http://tinyurl.com/jafdpj6
13.6. VULNERABILIDADES
São falhas presentes em um programa, protocolo ou Sistema Operacional que
muitas vezes decorrem de erros de especificação ou de programação.
Algumas medidas de prevenção para erros de programação são: aplicar patches ou hotfix; aplicar service
pack - (pacote de serviços) é como é chamado um pacote de correções para determinado programa ou
sistema operacional no qual o número de correções (updates e hotfixes) recentes torna-se muito grande
em quantidade.
Muitas listas de discussão fornecem informações sobre

vulnerabilidades, além de sites de fabricantes. Alguns desses sites:
Microsoft – http://tinyurl.com/gs8b2rf
Debian – http://tinyurl.com/yphmo
CERT – http://tinyurl.com/hyoa6nq
Uma prevenção para erros de especificação é fazer a revisão da especificação do protocolo ou do

produto, se possível.

13.6.1. VULNERABILIDADES DO PROTOCOLO TCP/IP SEM SOLUÇÃO PERFEITA

SYN FLOOD
Forma de ataque de negação de serviço (Denial of Service - DoS) em sistemas
computadorizados, na qual o atacante envia uma sequência de requisições SYN
para um alvo visando uma sobrecarga direta na camada de transporte e indireta
na camada de aplicação do modelo OSI.
O atacante envia grandes quantidades de solicitações ao servidor. Servidor fica à espera da conclusão da
negociação para início da comunicação (que nunca ocorre). Quando a solicitação inicial finaliza por time-
out, outras solicitações estão chegando e o clico continua. Esse processo impede que solicitações lícitas
sejam atendidas.
Para entender melhor assista aos vídeos

http://tinyurl.com/hrlrr3h
http://tinyurl.com/hcb2tu6
ATAQUES SMURF
Um ataque smurf é um tipo de negação de serviço (DoS) em que um atacante
tenta impedir que usuários legítimos acessem e-mail , sites e outros serviços que
dependem do servidor atacado.
Um ataque de smurf normalmente desabilita completamente a conexão, mas também pode apenas reduzir a
taxa de transferência de dados, ou de banda, de modo que a conexão é fica extremamente lenta.
Fonte: http://tinyurl.com/jljpdxa
Atacante A envia um pacote para a rede B, solicitando resposta de toda a rede. Porém, o pacote de
origem foi modificado indicando que a origem veio de C. Rede B responde para a origem C. Máquina C
recebe em pouco tempo muitos pacotes de resposta da rede B sem saber o motivo e, dependendo da
quantidade de pacotes, para de funcionar ou de atender novas solicitações lícitas.

Não podemos esquecer que o protocolo TCP/IP foi criado por volta de 1970 e suas características
principais foram mantidas até hoje. Assim, muitas das vulnerabilidades existentes no protocolo não
foram previstas durante o desenvolvimento.
Exploit é um programa que explora uma vulnerabilidade. Nasce como a prova de conceito de que uma
vulnerabilidade existe, podendo evoluir para ações maliciosas.
Para aprender mais assista ao vídeo:

http://tinyurl.com/h3l5jes
13.7. MOTIVAÇÃO
É importante termos em mente também que precisamos entender as motivações que levam uma pessoa
atacante a invadir um sistema. Estamos aqui pensando que existe a intenção de invadir um sistema.
Assim apresentamos abaixo alguns pontos que servem como motivação para um ataque:
• Impunidade
• Delinquência
• Tentativa de chamar a atenção.
• Notoriedade.
• Vingança (comum entre ex-funcionários).
• Compensação financeira.
• Espionagem.
• Entrar para o grupo.
Ninguém se torna um hacker, hackers nascem assim. Está certo! Muitos deles nunca
terão acesso a um computador, logo nunca serão hackers de fato, mas o espírito hacker
está presente naquela pessoa e vai acompanhá-la pelo resto da vida. Respondendo a
essa pergunta, me sinto um pouco como The Mentor no manifesto hacker, quando ele
pergunta ‘But did you (...) ever take a look behind the eyes of the hacker? Did you ever
wonder what made him tick, what forces shaped him, what may have molded him?’
(Mas você já olhou por trás dos olhos de um hacker? Você já imaginou o que faz pulsar,
que forças deram-lhe forma, o que pode tê-lo moldado?). A resposta de hoje é a mesma
que a de 1986, quando o manifesto foi escrito: hackers são pessoas inquietas, que não
são facilmente convencidas por argumentos de autoridade sem valor técnico. São
céticos sempre prontos a duvidar de qualquer coisa. A simples menção de que algo é
impossível para um hacker é um poderoso convite para que ele tente fazê-lo. Eles
querem saber mais sobre tudo (mais ainda sobre informática), simplesmente pelo fato
de saber, para obte iluminação pessoal.
(PEIXINHO, 2013)

13.8. AMEAÇAS ATUAIS

13.8.1. FRAUDE ON-LINE
Visa sequestro de dados bancários e informações úteis ao malfeitor. Aborda em
larga escala usuários via e-mail. Usa assunto atrativo como disfarce. Induz a vítima a
fornecer dados sigilosos. Instala programa que rouba informações no computador.
Entre as mensagens indesejadas e não solicitadas de correio eletrônico (spam) que circulam atualmente
na internet, as fraudes on-line (scam) já chegaram a ultrapassar a ocorrência de anúncios, propagandas e
pornografia, segundo dados da unidade de monitoramento Brightmail, da Symantec, empresa
especializada em segurança digital.
Prevenir é muito mais simples e eficaz do que remediar. Informação é sempre um

meio válido de combater este tipo de mal, para que cada vez menos pessoas sejam
enganadas pelas fraudes.
Para complementar seu estudo acesse os sites a seguir e veja os vários

exemplos:
http://tinyurl.com/horv9zd
http://tinyurl.com/zgwadnr
http://tinyurl.com/zmn2vhq
SCAM (GOLPE VIRTUAL)

Ação eletrônica fraudulenta que tem como finalidade obter vantagem, geralmente financeira.
Fatores de ocorrência e proliferação:
• Facilidade do e-mail de ser forjado e fraudado;
• Proliferação de listas e programas para envio de spam em larga escala;
• Facilidade de publicar qualquer conteúdo e arquivo executável na web;
• Carência de legislação, meio de controle e segurança que permita rastrear, identificar, coibir e
punir ação criminosa de forma rápida, eficaz e globalizada;
• Usuário com pouco conhecimento técnico, ingênuo e despreparado para desconfiar de perigo
existente.
PHISHING
Link para programa malicioso. Página falsificada de comércio eletrônico ou internet banking.
• E-mail contendo formulário.
• Uso de computador alheio.
• Cuidados ao usar comércio eletrônico ou internet banking.

• Usar proteção antiphishing
Phishingscam: Tipo de fraude eletrônica. Termo veio de fishing (pescaria),

analogia criada onde “iscas” são usadas para “pescar”.
Não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou
comercial. Os invasores têm concentrado seus esforços na exploração de fragilidades dos usuários para
realizar fraudes comerciais e bancárias através da internet.
Para obter vantagens, os fraudadores têm utilizado amplamente e-mails com discursos que, na maioria
dos casos, envolvem engenharia social e tentam persuadir o usuário a fornecer seus dados pessoais e
financeiros. Em muitos casos, o usuário é induzido a instalar algum código malicioso ou acessar uma
página fraudulenta, para que dados pessoais e sensíveis, como senhas bancárias e números de cartões de
crédito possam ser furtados.
Dessa forma, é muito importante que usuários da internet tenham certos cuidados com os e-mails que
recebem e ao utilizarem serviços de comércio eletrônico ou internet banking.
Como pegar (o que seria a isca)? Envio de mensagem eletrônica não solicitada, falsamente oriunda de
instituição conhecida, como banco, empresa ou site popular. Procurando induzir acesso a páginas
fraudulentas (falsificadas), projetadas para furtar os usuários.
O que pegar (o que seria o peixe)? Senhas; Dados financeiros; Número de cartão de crédito; Dados de
contas. Informações pessoais.
FORMAS ATUAIS DE PHISHING

Quatro situações de phishing usadas por fraudadores:
• Mensagem contendo link para programa malicioso.
• Página falsificada de comércio eletrônico ou internet banking.
• E-mail contendo formulário para fornecimento de informação sensível.
• Uso de computador alheio.

Existem variantes para as situações apresentadas. Novas formas de phishing podem surgir. É importante
manter-se informado sobre os novos tipos de phishing que vêm sendo utilizados pelos fraudadores,
através dos veículos de comunicação, como jornais, revistas e sites especializados. Também é importante
que, ao identificar um caso de fraude via internet, notifiquemos a instituição envolvida, para que ela
possa tomar as providências cabíveis.
Os sites recomendados para estudo complementar abaixo possuem

páginas para a notificação.
Acesse o site <http://tinyurl.com/j8x8a7n> e veja os detalhes e imagens
de mais de 10400 fraudes identificadas no Brasil.
Para saber mais acesse e estude o site:
http://tinyurl.com/hrehlay

Aula 14 | CRIPTOGRAFIA
Ocultar seus segredos sempre foi um dos grandes desafios da humanidade. São inúmeros os relatos de
criptografia entre os egípcios, gregos e romanos em técnicas tanto inteligentes quanto criativas que
preveniam que a informação caísse em mãos erradas. Os antigos generais precisavam transmitir
informações para seus exércitos sem o perigo de ter suas mensagens interceptadas e traduzidas pelo
inimigo. O uso da criptografia apareceu, possivelmente, nas primeiras guerras da antiguidade e seu
primeiro relato de uso na história é atribuído a Cesar, imperador de Roma.
14.1. CRIPTOGRAFIA
O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e "gráphein",
que significam "oculto" e "escrever", respectivamente. Trata-se de um conjunto
de regras que visa codificar a informação de forma que só o emissor e o receptor
consigam decifrá-la.
Para isso varias técnicas são usadas, e ao passar do tempo modificada, aperfeiçoada
e o surgimento de novas outras de maneira que fiquem mais seguras.
Basicamente, um processo criptográfico envolve a aplicação de três conceitos elementares: a

mensagem/texto, o algoritmo e a chave. A mensagem consiste, pura e simplesmente, na informação que se
deseja transmitir de forma segura; o algoritmo é a forma que será utilizada para cifrar e decifrar uma
mensagem; e a chave, em alguns modelos computacionais, pode ser entendida como o segredo
compartilhado que deve ser conhecido apenas pelas duas partes envolvidas no processo de comunicação. A
garantia da confidencialidade está em esconder do atacante o algoritmo ou a chave utilizada.
14.2. CÓDIGO DE CESAR

O Código de César é um dos métodos de criptografia
mais antigos que se tem notícia. Seu funcionamento era
básico, deslocando as letras do alfabeto de acordo com
a chave. Assim, se a chave era 3, como na figura abaixo,
transformava-se a letra B em E, a letra A virava D e assim
sucessivamente. Esse código, no entanto, é
extremamente inseguro, pois existem apenas 26
variações possíveis, dado que o alfabeto tem 26 letras. Fonte: http://tinyurl.com/h9llktm
Aprenda mais sobre Cifra de Cesar nos vídeos:

http://tinyurl.com/hphw9zl
http://tinyurl.com/p69b6k4

14.3. ESQUEMA DE CODIFICAÇÃO

Um esquema de codificação criptográfica consiste em uma tupla (M, C, K, E e D) com as seguintes propriedades:
a. M é um conjunto conhecido como espaço de texto comum (plaintext).
b. C é um conjunto conhecido como espaço de texto cifrado (ciphertext).
c. K é um conjunto conhecido como espaço de chave.
d. E é uma família de funções de codificação criptográficas tal que Ek: MgC
e. D é uma família de funções de decodificação criptográficas tal que Dk: CgM
O algoritmo criptográfico define a forma como a mensagem será cifrada e decifrada.
A definição prévia do algoritmo pelas partes envolvidas (transmissor e receptor) é um dos fatores
fundamentais no processo de comunicação seguro.
Os algoritmos criptográficos podem ser divididos em dois grandes grupos: algoritmos simétricos ou de
chave secreta e algoritmos assimétricos ou de chave pública.
Aprenda mais assistindo ao vídeo:

http://tinyurl.com/h5sssgh
14.4. CRIPTOGRAFIA SIMÉTRICA

A criptografia simétrica utiliza a mesma chave para criptografar e descriptografar uma informação. Essa
chave tem de ser compartilhada entre o emissor e o receptor da informação.
Entretanto, o uso de criptografia simétrica dificulta o gerenciamento de chaves e não permite a
autenticação e o não repúdio do remetente.
Fonte: http://tinyurl.com/j2fplur
Vejamos a seguinte situação: um usuário A deseja conversar de forma criptografada com um

usuário B. Para tal, ele precisa de um algoritmo e de uma chave. Se ele usa criptografia simétrica,
a chave para A cifrar a mensagem e B decifrar é a mesma. Agora imagine que A deseja conversar
com um usuário C. Para essa nova conversa, haveria a necessidade de uma nova chave, pois se A
usar a mesma chave que usa com B, o próprio B poderia decifrar as mensagens.

Dessa forma, se estivermos conversando com 100 pessoas, necessitaríamos de 100

chaves diferentes. Rapidamente percebemos que a solução de criptografia
simétrica não estende bem, pois quando crescemos o número de usuários
envolvidos, a gerência das chaves se torna inviável.
Por estas desvantagens, seu uso não é recomendado para guardar informações muito importantes.
Vejamos alguns exemplos de algoritmos criptográficos que fazem uso de chaves simétricas:
• DES (Data Encryption Standard) - criado pela IBM em 1977, usa criptografia de 56 bits e por isso é
considerado inseguro, o que corresponde a cerca de 72 quadrilhões de chaves diferentes. Apesar
de ser um valor bastante alto, foi quebrado por em 1997 por força bruta (tentativa e erro), em um
desafio feito na Internet.
Aprenda mais sobre DES no vídeo:

http://tinyurl.com/zcnt3bb
• IDEA (International Data Encryption Algorithm) - criado em 1991 por Massey e Xuejia Lai, utiliza
chaves de 128 bits com uma estrutura semelhante ao anteriormente citado DES, porém, possui
uma implementação mais simples.
• RC (Ron’s Code ou Rivest Cipher) - desenvolvido por Ron Rivest, na empresa RSA Data Security. É
largamente utilizado em e-mails. Possui diversas versões (RC2, RC4, RC5 e RC6), com chaves que
vão de 8 à 1024 bits.
• Blowfish: Desenvolvido em 1993 por Bruce Schneier, utiliza chaves de 32 a 448-bits. O algoritmo
não é patenteado, tem sua licença grátis e está à disposição de todos.
Conheça mais sobre o algoritmo Blowfish no vídeo

http://tinyurl.com/jolltk5
A Chave Simétrica apresenta alguns problemas graves, tais como a necessidade da troca constante
dessas chaves e a impossibilidade de serem usados com fins de autenticação (já que a transmissão da
chave privada de um para o outro pode não ser segura e acabar caindo em outras mãos), apesar de seus
algoritmos serem mais rápidos do que os algoritmos assimétricos.
Buscando resolver esse problema de gerenciamento de chaves, foi criada a

criptografia assimétrica.

14.5. CRIPTOGRAFIA ASSIMÉTRICA

Criptografia assimétrica é uma forma de criptossistema em que a criptografia e a
descriptografia são realizadas por diferentes chaves: uma chave pública e uma
chave privada. Ela também é conhecida como criptografia de chave pública.
Alguém deve criar uma chave de codificação e enviá-la a quem for lhe mandar informações. Essa é a
chave pública. Outra chave deve ser criada para a decodificação. Esta, a chave privada, é secreta.
A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um
algoritmo de criptografia. Usando a outra chave associada e um algoritmo de descriptografia, o texto
claro é recuperado a partir do texto cifrado.
Fonte: http://tinyurl.com/hps8gyc
Citamos como exemplos os seguintes algoritmos:
• El Gamal: Criado pelo estudioso de criptografia egípcio Taher Elgamal em 1984. Utiliza o
problema “logaritmo discreto” para segurança.
• RSA (Rivest, Shamir and Adleman): Criado por três professores do MIT, é um dos algoritmos mais
usados e bem-sucedidos. Utiliza dois números primos multiplicados para se obter um terceiro
valor. Para quebrar essa criptografia, é necessário a fatoração desse número para encontrar os 2
números primos que o geraram, porém, para isso é necessário um poder muito alto de
processamento, o que acaba inviabilizando a tarefa. A chave privada são os números
multiplicados e a chave pública é o valor obtido. Utilizada em sites de compra e em mensagens
de e-mail.
Dessa forma, a criptografia assimétrica pode ser utilizada para garantir a confidencialidade, a
autenticidade ou ambos. O criptossistema mais utilizado atualmente é o RSA, sendo envolvido o conceito

de números primos, de modo que é difícil de explorar, pela complexidade de se encontrar números
primos de um número composto.
A criptografia assimétrica tem como desvantagem o desempenho, pois é muito mais lenta que a
criptografia simétrica. Se usássemos criptografia assimétrica em todas as transações criptográficas,
teríamos perda de desempenho bastante significativa. Dessa forma, o mais comum é utilizar de uma
forma combinada as duas técnicas:
Fonte: http://tinyurl.com/haftmkq
a. Uma chave simétrica, inteiramente randômica, é criada e os dados são cifrados com essa chave.
b. A chave simétrica em si é cifrada com a chave pública do destinatário.
c. O conjunto chave e mensagem é enviado ao destinatário.
d. O destinatário decifra a chave simétrica (chamada de chave de sessão) utilizando sua chave privada.
e. Com a chave simétrica em mão, o destinatário decifra o resto da mensagem.
14.6. TAMANHO DAS CHAVES

Os tamanhos de chave costumam variar, de acordo com a capacidade de processamento da época e do
custo médio para se quebrar uma chave.
Em geral, os algoritmos assimétricos utilizam tamanhos de chave (1024, 2048 ou 4096 bits) muito
maiores que os algoritmos simétricos (128, 256 bits), pois o comprometimento de uma chave de sessão
invalida apenas uma transação, porém o comprometimento de uma chave assimétrica invalida todas as
transações daquele usuário. Os tamanhos de chave costumam variar, de acordo com a capacidade de

processamento da época e do custo médio para se quebrar uma chave. Atualmente o algoritmo
simétrico recomendado é o AES-256, que utiliza chaves de 256 bits.
14.7. ALGORITMOS HASH

Algoritmos Hash são funções criptográficas conhecidas como one-way. Essas
funções possuem como entrada mensagens de tamanho variável e a saída de
tamanho fixo. Uma mensagem de entrada, sempre que for submetida à análise
da função Hash vai gerar a mesma saída.
Uma função de resumo é um método criptográfico que, quando aplicado sobre

uma informação, independente do tamanho que ela tenha, gera um resultado
único e de tamanho fixo, chamado hash.
O algoritmo hash é utilizado para: (a) verificar a integridade de um arquivo armazenado em seu
computador ou em seus backups; (b) verificar a integridade de um arquivo obtido da Internet (alguns
sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa
verificar se o arquivo foi corretamente transmitido e gravado); (c) gerar assinaturas digitais.
Para verificar a integridade de um arquivo, por exemplo, calculamos o hash dele e, quando julgar
necessário, geraremos novamente este valor. Se os dois valores hashes forem iguais então você pode
concluir que o arquivo não foi alterado. Caso sejam diferentes, este pode ser um forte indício de que o
arquivo esteja corrompido ou que foi modificado.
O principal propósito da função Hash é criar uma “impressão digital” de um arquivo, mensagem ou bloco
de dados.
Um algoritmo Hash pode ser considerado forte quando:
• One way - A partir do resultado da função Hash, não é possível descobrir a mensagem de
entrada, de tamanho arbitrário. Também conhecido como algoritmo de uma só via.
• Fraca resistência à colisão - Quando computacionalmente for impossível encontrar uma segunda
entrada diferente de uma primeira entrada conhecida e as duas saídas forem iguais.
• Forte resistência à colisão - Quando computacionalmente for impossível encontrar um par de

entradas diferentes com a mesma saída.
Exemplos de métodos de hash são: SHA-1, SHA-256 e MD5.
14.7.1. MD5
Função de Hash de uma só via, inventada por Ron Rivest, do MIT, que também trabalha para a Indústria
RSA de Segurança de Dados. O algoritmo MD (Message Digest) produz um valor de Hash de 128-bit para
um tamanho arbitrário da mensagem inserida. Foi primeiramente proposto em 1991, depois de alguns
ataques de criptoanálise descobertos contra a função de Hash de uma só via, utilizada no MD4 de Rivest.
O algoritmo foi projetado para velocidade, simplicidade e segurança. É claro que os detalhes do
algoritmo são públicos e foram analisados por diversos criptógrafos.

Uma fraqueza foi descoberta em alguma parte do MD5, mas não afetou a segurança global do algoritmo.
Porém, o fato de ele só produzir um valor de Hash de 128-bit é inquietante; é preferível uma função de
Hash de uma só via, que produza um valor mais longo.
14.7.2. SHA
Função de Hash de uma só via, desenvolvida pelo NIST (National Institute of Standards and Technology).
Produz um valor de Hash de 160-bit de um tamanho arbitrário da mensagem.
O SHA é uma função Hash baseada na função Hash MD4. Porém, a fraqueza na parte do algoritmo MD5
mencionada ainda não foi possível de aplicar contra o SHA. Acredita-se que o SHA não possui essa
vulnerabilidade. Atualmente, não existe forma conhecida de ataque criptoanalítico contra o SHA, com
exceção do ataque de força bruta. Seu valor de 160-bits torna o ataque de força bruta ineficiente. É claro
que não existe prova de que alguém não possa quebrar o SHA no futuro próximo ou mesmo quando
esse material estiver sendo lido.
Atualmente, a família SHA-2 inclui mudanças significativas de seu antecessor, SHA-1. A família SHA-2 é
composta por seis funções hash com resumos (valores de hash) que são de 224, 256, 384 ou 512 bits:
SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
14.8. MODOS DE OPERAÇÃO DE ALGORITMOS CRIPTOGRÁFICOS

Outra questão importante acerca de criptografia são os modos de operação. Em especial, temos os modos de
operação em bloco e os modos de operação em stream. A operação em bloco divide os dados em conjuntos
de tamanho fixo (chamados de blocos). Esses blocos são combinados com repetições da chave para gerar o
texto cifrado, muitas vezes utilizando a operação matemática XOR. Apesar de útil para a cifragem de arquivos,
uma cifragem de bloco não é adequada para a transmissão de dados cifrados de forma contínua, como, por
exemplo, uma conexão VPN ou uma transmissão de vídeo, pois numa cifra de bloco o algoritmo teria de
aguardar um bloco ser completado para fazer a cifragem, o que reduzirá o desempenho.
As cifragens de bloco podem ter vários modos de operação, cada um com suas vantagens e
desvantagens. São eles: Electronic Codebook (ECB), Cipher-block Chaining (CBC), Propagating Cipher-
Block Chaining (PCBC), Cipher Feedback (CFB), Output Feedback (OFB) e Counter (CTR).
Dessa forma, em aplicações em que temos pressa em enviar os dados, usamos o stream cipher, que
realiza a cifragem a nível de bit, de modo que não há a necessidade de aguardar a formação de um bloco.
Alguns exemplos de cifragem stream são RC4 e A5/1 (usado em redes GSM de telefonia celular).
14.9. FALHAS NOS SISTEMAS CRIPTOGRÁFICOS

A utilização de sistemas criptográficos cresce à medida que aumenta o uso da Internet e a troca
eletrônica de informações. Devido à sua extrema importância, que pode resultar em uma perigosa falsa
sensação de segurança, os fatores que podem causar falhas em sistemas criptográficos devem ser
considerados, tais como: alguns sistemas não destroem a mensagem em texto simples, depois de ser
feita a cifragem; alguns sistemas utilizam arquivos temporários para proteger os dados que podem ser
perdidos durante uma pane no sistema; podem também utilizar a memória virtual para aumentar a
disponibilidade da memória; em casos extremos, o sistema operacional pode deixar as chaves no disco
rígido; existem sistemas que permitem que a senha fique armazenada na memória de vídeo; existem
falhas também na utilização da base de dados de recuperação de chaves, em casos de emergência;

sistema que utiliza a geração de números aleatórios, se forem gerados números ineficientes e que não
são devidamente aleatórios, o sistema será totalmente comprometido, não importando a efetividade do
algoritmo de criptografia.
Essas falhas podem ser exploradas por meio de ataques feitos por hardware, que podem introduzir,
deliberadamente, falhas no processamento da criptografia, para tentar determinar as chaves secretas.
Além dessas falhas, os algoritmos podem ter problemas em sua implementação. Isso ocorre devido à
complexidade existente, que faz com que os erros em seu desenvolvimento sejam comuns. Além disso,
os revendedores ainda comercializam produtos com algoritmos já considerados inseguros e até
proprietários (apostando na segurança pela obscuridade), além de as interfaces com o usuário ainda
serem difíceis de serem utilizadas.
14.10. A CRIPTOGRAFIA SIMÉTRICA X CRIPTOGRAFIA ASSIMÉTRICA

Ao analisarmos os dois métodos, observamos que a criptografia por chave pública tem vantagem sobre a
chave privada ao viabilizar a comunicação segura entre pessoas comuns.
O uso da chave pública termina também com o problema da distribuição ou gerenciamento de chaves
existente na criptografia por chave secreta, pois naquela não há necessidade do compartilhamento de
uma mesma chave, nem de um pré-acordo entre as partes interessadas.
Desta forma, resulta num nível de segurança maior. A principal vantagem da criptografia por chave
secreta está na sua velocidade dos processos de cifragem/decifragem, pois estes tendem a ser mais
rápidos que os de chave pública.
Veja o vídeo " Diffie Hellman Key Exchange part 1" da Khan Academy, disponível
no link a seguir, para ver uma outra forma de explicar o assunto.
http://tinyurl.com/zomjdsf
Para aprender mais assista aos vídeos:

http://tinyurl.com/p7cr4mg
http://tinyurl.com/h29w4gr
http://tinyurl.com/z2vrsgh
14.11. ASSINATURA DIGITAL

Uma assinatura digital tem por finalidade comprovar a autenticidade e a
integridade de uma informação, isto é, se ela realmente foi gerada por quem diz ter
feito isto e que ela não foi alterada.
Ela se baseia no fato de que apenas o proprietário da informação conhece a chave privada e que, sendo
ela usada para cifrar uma informação, então apenas seu proprietário poderia ter feito isto. A forma de
verificação da assinatura é com o uso da chave pública, pois se o texto foi codificado com a chave
privada, somente a chave pública correspondente pode decodificá-lo.
A fim de buscarmos agilidade sobre a baixa eficiência da criptografia de chaves assimétricas, a
codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que
possui tamanho fixo e reduzido) do que toda a informação.
14.12. CERTIFICADOS DIGITAIS

Como já falamos, a chave púbica pode ser livremente divulgada. Porém, se não houver uma forma de
comprovarmos a quem ela realmente pertence, pode ocorrer nos comunicarmos, de forma cifrada,
diretamente com um impostor.
Ele, impostor, cria uma chave pública falsa para alguém do nosso relacionamento e nos disponibiliza em
um repositório. Ao usarmos para codificar uma informação para esta pessoa falsa, você estará, na
realidade, codificando-a para um impostor, que possui a chave privada correspondente e conseguirá
decodificar. Uma das formas de impedir que isto ocorra é pelo uso de certificados digitais.
O certificado digital é um registro eletrônico composto por um conjunto de

dados que distingue uma entidade e associa a ela uma chave pública. Ele pode
ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por
exemplo, um site Web) e pode ser homologado para diferentes usos, como
confidencialidade e assinatura digital.
O coração da especificação do esquema X.509 é a associação de certificados de chaves públicas a cada

usuário do diretório. Esses certificados digitais devem ser gerados por uma Autoridade Certificadora (AC)
confiável e armazenados no servidor de diretório. Esse armazenamento pode ser feito pelo AC e pelo
usuário. Dessa forma, o servidor de diretório não é responsável pela criação desses certificados de chave
pública, mas apenas provê fácil acesso aos certificados de usuários.
14.12.1. OBTENDO CERTIFICADO DE USUÁRIO

A ICP (Infraestrutura de Chave Pública) é construída de forma hierárquica, onde a AC certificadora Raiz
concede permissão para uma AC e permissão de emissão de certificados.
A figura seguinte ilustra um exemplo de hierarquia de AC utilizada no

ICP-Brasil que pode ser conhecida em detalhes em:
http://tinyurl.com/j76hbmp

Fonte: http://tinyurl.com/zacp75u
O certificado de usuário é gerado por sistema de Autoridade Certificadora, que emite a chave pública e
privada do certificado. A chave pública pode ser armazenada em um repositório de diretórios e a chave
privada fica sob a guarda do usuário.
Existem várias implementações de PKI (Public Key Infrastructure), ou Infraestrutura de Chaves Públicas,
comerciais e de software livre:
• Microsoft Windows 2008 Server – Certificate Autority.
• Microsoft Public Key Infrastructure (PKI) for Windows Server 2003.
• Projeto de software livre OpenCA PKI (http://tinyurl.com/zrlv8nb).
14.12.2. GERAÇÃO DE UM CERTIFICADO

A figura abaixo demonstra o processo de geração de um certificado:

a. Certificado não assinado: contém o ID e a chave pública do usuário.

b. Geração do código hash do certificado não assinado.
c. Código hash encriptado com a chave privada da AC para formar a assinatura.
d. Certificado assinado: recipiente pode verificar a assinatura usando a chave pública da AC.
14.12.3. REVOGANDO O CERTIFICADO DO USUÁRIO

No momento da geração do certificado digital, é necessário indicar o período de sua validade. Dessa
forma, se por algum motivo um certificado necessite de ser cancelado antes da data final de validade,
esse certificado será incluído em uma base de certificados revogados.
A Infraestrutura de Chaves Públicas disponibiliza essa base para que, no processo de validação de um
certificado, esse serviço de validação consulte a base, antes de permitir ou negar determinado acesso.
Manter essa base atualizada e garantir que as aplicações a estejam acessando é mais um dos desafios do
administrador de segurança da rede.
Assista aos vídeos sobre certificados digitais

http://tinyurl.com/h5vtxpw
http://tinyurl.com/zmcazvs
Aula 15 | SISTEMA DE DETECÇÃO DE INTRUSOS – IDS
Já falamos da necessidade de estabelecermos um perímetro para proteger uma rede interna dos perigos
da internet e de outras redes públicas, incluindo a criação de uma DMZ (zona desmilitarizada) para
prover serviços públicos. Apesar de ser uma técnica bastante eficiente, existe a possibilidade de as nossas
defesas serem atacadas e eventualmente vencidas.
Lembre-se: não existe sistema 100% seguro e isso sempre vai existir. Por isso, a
detecção e a prevenção de intrusos que consiste no monitoramento constante de
diversos elementos, como segmentos de rede, sistemas operacionais e aplicações.
Através desse monitoramento constante, podemos tomar uma ação caso alguma atividade suspeita seja
detectada, que pode ser desde um alerta para o administrador de segurança até o bloqueio temporário
ou permanente do atacante.
Consideramos o IDS (Intrusion Detection System – Sistema de Detecção de Intrusão), em conjunto com
um firewall, como uma aplicação do princípio de defesa em profundidade.
15.1. SISTEMAS DE DETECÇÃO DE INTRUSOS (IDS)

Ferramenta capaz de detectar atividade maliciosa através do monitoramento
constante de um segmento de rede ou de chamadas de sistema em um
sistema operacional.

Um IDS consiste em uma ferramenta capaz de detectar atividade maliciosa através do monitoramento
constante de um segmento de rede ou de chamadas de sistema em um sistema operacional. Existem
diversos IDS no mercado com componentes e funcionamento distintos, porém normalmente
encontramos os seguintes componentes em um IDS:
• Sensor: responsável por coletar informações sobre a rede, sistema operacional ou aplicação, para
ser utilizado como parâmetro de entrada para o sistema de detecção.
• Engine: responsável por analisar as informações coletadas e comparar com um padrão

conhecido, para assim determinar se é um evento normal ou malicioso. Algumas engines
trabalham com elementos mais determinísticos, como assinaturas de ataque. Outras trabalham
com redes neurais e sistemas estatísticos, e podem detectar ataques desconhecidos.
• Console: interface para o administrador configurar o funcionamento da ferramenta.

Esses componentes podem estar em uma única máquina ou distribuídos. Existem ainda diferentes tipos
de IDS de acordo com o modo de funcionamento, local e forma de atuação frente a um ataque. Existem
então as seguinte classificações para facilitar o nosso entendimento sobre o assunto.
15.1.1. QUANTO AO MODO DE FUNCIONAMENTO

DETECTOR DE ANOMALIAS
Utiliza alguma função estatística ou rede neural para definir um perfil de utilização normal da rede
em uma etapa de aprendizado. Em seguida, analisa constantemente o padrão atual com o
aprendido. Caso ocorra algum desvio acima de um limiar, considera que houve uma tentativa de
intrusão. Essa técnica tem a vantagem de possibilitar a detecção de ataques desconhecidos, mas
pode gerar falsos positivos e não é capaz de saber o ataque específico em ação.
A análise de anomalias visa detectar comportamentos que fujam do padrão, para tal o sistema
possuirá um histórico das atividades “comuns” do sistema, desta forma, são construídos os
perfis de todas das entidades ligadas ao sistema, a partir destas o sistema é monitorado.
A utilização fora dos parâmetros normais, definidos estatisticamente, é sinalizada como uma intrusão.
Uma questão chave para maximizar a precisão deste tipo de sistema é o conjunto de dados presentes no
histórico, desta forma, uma coleta bem feita, com uma quantidade de dados que permita uma boa
análise estatística é fundamental.
Por apenas comparar com comportamentos, este sistema pode detectar intrusões com assinaturas ainda
não previstas, fornecendo, além de segurança, conhecimento para ser aplicado futuramente na detecção
por assinaturas, entretanto, este tipo de sistema pode gerar um grande número de alarmes falsos, já que
nem todas as anomalias são ocorridas durante intrusões.
ANALISE DE ASSINATURAS
É o modo mais utilizado atualmente. Possui funcionamento parecido com o de um antivírus. Através de
um conjunto de assinaturas previamente configuradas, o IDS monitora o ambiente em busca de eventos
que coincidam com alguma assinatura. Possui baixo índice de falsos positivos caso as assinaturas sejam
de boa qualidade.

Não detectam ataques desconhecidos e dependem de atualização das assinaturas por parte do
fabricante ou da comunidade.
Este tipo de análise consiste em buscar no tráfego padrões de bytes ou pacotes comuns a
ataques, estes padrões são conhecidos como assinaturas. De certa forma, o
funcionamento deste método é análogo ao de um antivírus. Varre-se o espaço e compara-
se os pacotes com o banco de dados de assinaturas de ataques.
Por comparar com padrões predeterminados, este tipo de análise apresentará grande eficiência, e um
número pequeno de alarmes falsos, isto também tornará este método mais rápido na detecção, por
outro lado, ele só detectará ataques que sejam feitos de acordo com os padrões previstos na base de
dados deste sistema, por esta razão este sistema requererá uma atualização constante, a fim de poder
detectar ataques baseados em novos padrões.
15.1.2. QUANTO AO LOCAL DE ATUAÇÃO

BASEADOS EM SERVIDOR
Estes agem em cima de uma única máquina. Normalmente são instalados na própria máquina que se
deseja proteger e monitoram chamadas do sistema operacional ou atividades de uma aplicação
específica. Normalmente chamados de Host-based IDS (HIDS).
Um HIDS monitora as atividades do sistema do servidor visando identificar e proteger o

servidor contra intrusões. Ele identifica casos de uso anormais como falhas de login
através dos logs do próprio sistema, fazendo, ainda logs desses casos de uso suspeitos.
Um HIDS não é afetado pela topologia da rede onde a máquina se encontra. São mais
precisos que os NIDS's além de serem menos sensíveis ao trafego de rede e detectarem
ataques criptografados.
Entretanto, HIDS são mais caros. HIDS são, ainda, dependentes do sistema operacional e do hardware da
máquina onde se encontram. São vulneráveis a ataques de varredura e a ataques ao próprio HIDS.
Destaca-se, ainda, a dependência de um sistema operacional que gere os logs de casos de uso.
BASEADOS EM REDES
Agem em cima de um segmento de rede. São instalados em uma máquina que faz parte do segmento de
rede. Monitoram o tráfego no segmento de rede do qual a interface de monitoramento faz parte. Os IDSs
de rede são chamados de NIDS.
Normalmente posicionados numa máquina em modo promíscuo, o NIDS "fareja" todo o tráfego do
segmento de rede onde está posicionado. Possui dois tipos de componentes: os Sensores, que captam as
informações e a interface com o administrador da rede, que faz o processamento dos dados e dá os
alertas de ataque.
Um NIDS é capaz de detectar atividade suspeita em uma rede inteira que se encontra atrás dele, porém,
como age no nível do sistema operacional, um HIDS é capaz de obter informações mesmo que elas não
trafeguem pela rede.

Fonte:http://tinyurl.com/hmaq367
Os NIDS são vantajosos por serem praticamente independente dos sistemas das máquinas
contidas na rede além de não influenciarem diretamente no tráfego da rede. NIDS
também são eficazes contra varreduras de portas além de serem mais dificilmente
identificáveis pelo atacante.
Por outro lado, são incapazes de detectar ataques criptografados (que são muito utilizados)
além de perder muito desempenho em redes congestionadas ou muito complexas.
Em arquiteturas reais, é muito comum a combinação de NIDS e HIDS de modo a obter uma proteção mais
completa. O ideal é que uma rede corporativa tenha um HID e um NID. O primeiro protege máquinas
locais e opera como uma última linha de defesa, enquanto o NID mantém a segurança da rede de
momento. Ambos são capazes de proporcionar maior segurança que qualquer firewall ou programa
antivírus simples, mas falta a cada um determinadas capacidades que o outro detém. Assim, a união dos
dois é a única maneira de criar uma rede de defesa verdadeiramente sólida.
15.1.3. QUANTO À FORMA DE ATUAÇÃO

REATIVOS
Agem após um evento malicioso. Podem inserir regras em um firewall acoplado ou tentar encerrar a
conexão utilizando pacotes falsificados. É importante ressaltar que, em alguns ataques, a reação pode ser
tardia demais. Existem ataques em que um pacote é suficiente para causar algum tipo de estrago. Nesses
casos, no momento em que o IDS reagir ao ataque, será tarde demais.
PASSIVOS
Não causam nenhuma alteração no ambiente. Fazem apenas registros dos eventos e notificações para os
administradores. Uma vantagem de um IDS passivo é que ele não causa nenhuma interrupção na rede
caso falhe, porém o tráfego malicioso deixará de ser detectado. Aqui temos uma aplicação inversa do
princípio de fail safe.
SISTEMAS HÍBRIDOS
Sistemas híbridos utilizam como fonte de informações de análise e avaliação tanto características
relativas aquele computador específico, quanto pacotes transmitidos e recebidos em rede.

São Sistemas de Detecção de Intrusão que possuem características tanto de NIDS quanto de HIDS. Um
SDI híbrido identifica o tráfego de rede e analisa os logs de casos de uso do sistema, tornando a detecção
mais eficaz. Um IDS híbrido deve ser instalado em uma máquina.
Um SDI híbrido capta os pacotes como um NIDS e os processa como um HIDS, o que o torna menos
vulnerável ao tráfego na rede. Porém, por ficar, instalado em uma máquina, ele depende do
processamento da mesma além de ser mais vulnerável a ataques contra o mesmo assim como os HIDS's.
15.1.4. CARACTERÍSTICAS DE UM IDS

Uma ferramenta IDS, segundo Martin Roesch, deve possuir algumas características, entre elas:
• Deve executar continuamente sem interação humana e deve ser segura o suficiente de forma a
permitir sua operação em background;
• Ser tolerante a falhas de forma a não ser afetada por uma queda no sistema, ou seja, sua base de
conhecimento não deve ser perdida quando o sistema for inicializado;
• Resistir a tentativas de mudança (subversão) de sua base, ou seja, deve monitorar a si próprio de
forma a garantir sua segurança;
• Ter o mínimo de impacto no funcionamento do sistema;
• Poder detectar mudanças no funcionamento normal;
• Ser fácil de configurar. Cada sistema possui padrões diferentes e a ferramenta deve adaptar-se de
forma fácil a cada um;
• Cobrir as mudanças do sistema durante o tempo, como no caso de uma nova aplicação que seja
integrada ao sistema.
15.1.5. A TERMINOLOGIA
• Alertas/Eventos: É um aviso gerado pelo IDS quando este detecta determinada invasão. Este
alerta pode ser dado tanto local quanto remotamente.
• Evasão: É um ataque ao IDS sem que este detecte o mesmo, é uma maneira que se encontra de
ludibriar o sistema.
• Fragmentação: é uma maneira de dividir os pacotes de tal forma que não ultrapasse o limite da
rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de serviço.
• Assinaturas: são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os
alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são
gerados os alertas.
Por que usar um IDS?

Podemos nos perguntar por que usar um
15.1.6. PROVÁVEIS ERROS

É importante referenciar os prováveis erros que podem acontecer ao sistema. Estes, podem ser
classificados como falso positivo, falso negativo ou erros de subversão. São eles:
• Falso positivo: quando a ferramenta classifica uma ação como possível intrusão, tratando-se na
verdade de uma ação legítima.
• Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela
passe como se fosse uma ação legítima.
• Subversão: ocorre quando o intruso modifica a operação da ferramenta IDS para forçar a
ocorrência de falso negativo.
15.2. FERRAMENTAS HIDS

Existem diversas ferramentas que realizam detecção de intrusos com base em hosts. Podemos citar
algumas, disponíveis na internet:
• OSSEC: ferramenta bastante completa de HIDS, capaz de realizar análise de logs, verificação de
integridade de arquivos, monitoramento de políticas, detecção de rootkits e alertas em tempo real,
entre outros. Disponível para plataformas como Linux, MacOS, Solaris, HP-UX, AIX e Windows.
Fonte: http://tinyurl.com/zpx8ayt
Assista ao vídeo sobre o Sistema de Detecção de Intrusão OSSEC

Segurança da Informação: http://tinyurl.com/z5yrc4o
• SAMHAIN: HIDS que provê verificação de integridade de arquivos e análise e monitoramento de

arquivos de log. Ele foi projetado para monitorar múltiplas máquinas com diferentes sistemas
operacionais, provendo registros centralizados e gerenciados.

Conheça mais no site SANS Institute InfoSec Reading Room:

http://tinyurl.com/hbp79e8
• TRIPWIRE: ferramenta antiga de monitoramento de integridade de

arquivos, muito usada para verificar se os arquivos de um sistema
operacional foram modificados, o que pode ser um indício de
comprometimento do servidor. Fonte: http://tinyurl.com/zwpwu8a
Aprenda mais nos vídeos:

http://tinyurl.com/h8a59vb
http://tinyurl.com/hjpm9o7
• OSIRIS: ferramenta de monitoramento de alterações em máquinas capaz de monitorar mudanças

no sistema de arquivos, lista de usuários e grupos e módulos de kernel. Suporta plataformas
como Linux, BSD, Windows, AIX, Solaris e MacOS. Atua de forma centralizada, monitorando
mudanças em diversas máquinas.
Fonte: http://tinyurl.com/zyvjl5s
15.3. FERRAMENTAS HIDS

Na maior parte dos casos, quando falamos em IDS, estamos nos referindo aos sistemas de detecção de
intrusos baseados em rede (NIDS), que são mais comuns.

Um sistema baseado em rede é capaz de monitorar um segmento de rede e

detectar tráfego malicioso destinado a qualquer máquina que se encontre atrás do
segmento monitorado, criando uma proteção mais abrangente, porém limitada a
informações obtidas através de pacotes enviados na rede.
Como complemento aos NIDS, existem sistemas de detecção que agem em uma máquina específica,
monitorando elementos como chamadas ao sistema (system calls), logs de aplicação, modificação em
arquivos ou registros, criação de processos, entre outros. São chamados de HIDS (Host Intrusion Detection
Systems). Um HIDS protege apenas a máquina onde esteja instalado, porém é capaz de obter
informações que não trafegam na rede.
Existem diversos tipos de HIDSs. Os mais simples monitoram questões simples de um

ambiente computacional, como alterações em arquivos, uso excessivo de CPU, memória
etc. Outros, mais complexos, se instalam como drivers ou módulos do kernel, monitorando
elementos de baixo nível no sistema operacional, como chamadas ao sistema e acesso
físico ao disco, entre outros.
É comum a combinação de NIDS e HIDS em uma rede, de modo a monitorar tanto a rede, quanto as
aplicações e sistemas operacionais.
As tecnologias de IDS atualmente estão bastante sedimentadas, de modo que existem diversas
ferramentas, livres e comerciais. Vamos falar um pouco sobre o Snort, considerado um dos melhores IDS
open source do mercado.
15.3.1. SNORT
O Snort (https://www.snort.org/) é um NIDS open source, bastante
conhecido. Ele é baseado em assinaturas, de modo que é necessário
que ele seja constantemente atualizado para continuar sendo
eficiente. Existe um plugin estatístico para o Snort, chamado SPADE,
pouco usado.
O Snort possui uma estrutura modular altamente customizável, de
Fonte:http://tinyurl.com/zfqz5mj
modo que diversos plugins e programas acessórios podem ser
usados para expandir suas funcionalidades, como a possibilidade de
reagir a um alerta, a atualização automática das suas assinaturas e o gerenciamento de diversos sensores
espalhados em uma ou mais redes. Por ter o código-fonte aberto, o Snort
foi portado para plataformas como Linux e Windows. A figura a seguir apresenta os diferentes
componentes do Snort, desde a captura do pacote na rede até o registro de um alerta ou log.
ARQUITETURA DO SNORT
Segundo Caswell, a arquitetura do Snort é composta por quatro componentes básicos:
• farejador
• pré-processador;
• mecanismo de detecção;
• Alerta/registro.
O pré-processador e o mecanismo de alerta são todos compostos por plug-ins que foram separados do
código base para tornarem as modificações ao código fonte mais fáceis e confiáveis. A figura abaixo
mostra uma visão da arquitetura do Snort.
Figura20. Arquitetura do Snort. Fonte: CASWELL et al. 2003. p. 26.
O decodificador de pacote é responsável pela obtenção dos pacotes no segmento de rede monitorado.
Os preprocessadores realizam diversos tipos de processamento em cima dos pacotes, com o objetivo de
obter tráfego normalizado. Questões como fragmentação, uso de codificações diferentes e ofuscação de
pacotes são tratadas nessa etapa. A seguir, o
detection engine é responsável por compilar as regras (assinaturas) e testar os pacotes contra essas
regras. O registro e sistema de alerta gera os registros do Snort e envia os alertas.
Por fim, os módulos de saída exportam os alertas e registros para um arquivo ou banco de dados. A figura
a seguir apresenta um exemplo de alerta gerado pelo Snort.
Através da arquitetura modular do Snort, é possível a geração de alertas em arquivos texto, bases de
dados, entre outros. Em conjunto com os alertas, é possível ainda o armazenamento dos pacotes que
causaram um determinado alerta, o que é importante para se determinar se um determinado alerta é
legítimo, ou se é um falso-positivo.

Fonte: http://tinyurl.com/ho73btx
Há programas auxiliares ao Snort, que geram alertas em formatos mais úteis para um administrador,
como BASE (Basic Analysis and Security Engine), Sguil (The Analyst Console for Network Security
Monitoring) e OSSIM, considerado um SIEM (Security Information and Event Management ). Um SIEM é
uma ferramenta centralizada de segurança, com o objetivo de concentrar as informações de segurança
em uma única ferramenta. O OSSIM é um conjunto de ferramentas integradas, com um console gráfico
completo. Muitas das ferramentas presentes no OSSIM foram ou serão apresentadas neste curso, como
Snort, Nessus, Ntop e Nagios. O interessante do OSSIM é que ele é disponibilizado como uma imagem
ISO, com todos os componentes instalados automaticamente, bastando apenas a sua inicialização
através dessa ISO.
Conheça mais sobre o Snort assistindo os vídeos:

http://tinyurl.com/jq3s4pz
http://tinyurl.com/zcumen4
http://tinyurl.com/z5fsu4n
http://tinyurl.com/zdzxhur
http://tinyurl.com/jutrub9
Acesse também o site:
http://tinyurl.com/6hls74
Aula 16 | SISTEMA DE PREVENÇÃO DE INTRUSOS - IPS
Hoje em dia, as soluções necessitam de inteligência e pró-atividade, os eventos de uma rede tradicional
podem tranquilamente ultrapassar a barreira de algo compreensível por uma equipe.
É necessário que cada vez mais as ferramentas façam uma pré-análise de impacto e
filtro de possíveis falsos positivos e negativos.
Identificar um possível intruso é uma atividade considerada essencial para qualquer administrador
de segurança.
16.1. INTRUSO
Consideramos Intrusos os invasores de um sistema e se classificam de três maneiras:
Mascarado (invasor de fora Invasor que não está autorizado a entrar no sistema e o invade para obter
da rede ou sistema) privilégios de um usuário legítimo;
Infrator (invasor de dentro É um usuário real ou legítimo que não está autorizado a usar
da rede) determinados recursos, mas os utiliza, ou então, que está autorizado, mas
não os utiliza de forma lícita;
Usuário clandestino Invasor que toma posse de privilégios de administrador de um sistema

(invasor de dentro ou de fora para que se esquive de auditorias e controles para acesso ou até mesmo
da rede) para ludibriar provas auditórias contra este.
16.1.1. TÉCNICAS DE INTRUSÃO

O principal objetivo de um intruso é aumentar alguns privilégios dentro de um sistema. Porém, esses
privilégios são protegidos por senhas de usuário. Mas se um invasor tem acesso a estas senhas ele pode
obter estes privilégios. O administrador mantém essas senhas em um arquivo, por isso é necessário que
este esteja bem protegido. Vejamos duas maneiras de se proteger esse arquivo de senhas:
• Função unidirecional ou não reversível: A partir da entrada de uma senha o sistema a transforma
em um valor de tamanho fixo que não pode ser revertido. Assim, o sistema não necessita de
armazenar as senhas, mas somente os valores gerados a partir das mesmas.
• Controle de acesso: Neste caso se limita ao extremo o acesso ao arquivo de senhas.

Abaixo, algumas técnicas que invasores utilizam para a descoberta de senhas:
a) Tentar senhas padrão geralmente entregues com o sistema;
b) Tentar senhas curtas;
c) Tentar palavras de dicionários on-line;
d) Tentar senhas com informações sobre seus usuários;
e) Tentar números de placa de automóveis;
f) Usar Cavalo-de-Tróia para ludibriar restrições de acesso;
g) Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos;
Até a letra e) verificamos que são métodos de tentativas e erros para a descoberta da senha, porém são
de fácil defesa para os administradores de sistemas. Já a partir da letra f) é um pouco mais complicado,
pois se trata de fazer com que um usuário legítimo instale um Cavalo-de-Tróia em sua máquina que fará
com que o invasor obtenha acesso, por exemplo, a um arquivo de senhas que antes estaria protegido por
criptografia, mas que agora está descriptografado, pois é um arquivo com privilégios para o usuário. Por
último , a letra g) pode ser resolvida com criptografia do link.
As técnicas de invasão não se baseiam apenas na descoberta de senhas, mas também em várias outras
maneiras, tais como sobrecarga de um sistema com envio constante de solicitações.

16.2. O QUE É UM IPS

Um Sistema de Prevenção de Intrusos (IPS - Intrusion Prevention System) é um
software capaz de realizar análise de tráfego de rede em tempo real em redes TCP/IP.
Fonte: http://tinyurl.com/hlkmunm
Um sistema de prevenção de intrusão (IPS) é uma tecnologia de segurança e prevenção de ameaças que
examina os fluxos de tráfego de rede para detectar e prevenir exploits de vulnerabilidade. Os exploits de
vulnerabilidade geralmente vêm na forma de entradas maliciosas em um aplicativo ou serviço alvo que
os invasores usam para interromper e obter o controle sobre um aplicativo ou máquina.
Depois de um exploit bem-sucedido, o invasor pode desabilitar o aplicativo alvo (resultando em um
estado de negação de serviço) ou pode acessar todos os direitos e autorizações disponíveis para o
aplicativo comprometido.
Um IPS pode realizar análise de protocolo, pesquisa por conteúdo e pode ser utilizado
para detectar uma variedade de ataques e testes, tais como: estouros de buffer, varreduras
de portas no modo furtivo, ataques CGI, testes SMB, tentativas de identificação de sistema
operacional e muito mais.
O IPS foi originalmente construído e lançado como um dispositivo independente em meados da década
de 2000. Isso, no entanto, foi antes do advento das implementações de hoje, que agora são normalmente
integradas nas soluções de gerenciamento de ameaças unificado (UTM) - para pequenas e médias
empresas - e nos firewalls de última geração ( para grandes corporações).
16.2.1. DIFERENÇAS ENTRE IDS E IPS

O IPS é um Sistema de Prevenção e Proteção contra as intrusões e não apenas de reconhecimento e
sinalização das intrusões, como a maior parte dos IDS .
A principal diferença entre um IDS (rede) e um IPS (rede) reside principalmente em duas
características: a) posicionamento em corte na rede do IPS e não apenas à escuta na rede
para o IDS (tradicionalmente posicionado como um sniffer na rede); b) possibilidade de
bloquear imediatamente as intrusões e independentemente do tipo de protocolo de

transporte utilizado e sem reconfiguração de um equipamento terceiro, o que induz que o

IPS é constituído como nativo numa técnica de filtragem de pacotes e meios de bloqueio.
Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de
códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos
enquanto o tráfego normal continua seu caminho. A qualidade de um sistema de prevenção de intrusos
consiste em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso
negativo baixa. IPS é uma solução de segurança ativa.
16.2.2. FUNCIONAMENTO
A maioria dos IPS pode ser configurado com duas placas de rede, uma para gerenciamento e outra para
detecção. O IPS é uma ferramenta interessante na maneira de trabalhar, pois reúne componentes que
fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas
exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de
disponibilidade que uma rede deve ter.
IPS tem como finalidade reforçar a segurança de uma rede ou segmento no qual
será implementado.
Fonte: http://tinyurl.com/jet9otv
Mas para isso é necessário fazer uma ótima escolha do tipo de IPS a se utilizar, levando-se em
consideração o tipo de tráfego de rede ao qual o mesmo será destinado a proteger.
16.2.3. TIPOS DE IPS

Assim como o IDS o IPS também é dividido em tipos ou classes.
HIPS (HOST INTRUSION PREVENTION SYSTEM)

É uma maneira mais fácil de proteção de hosts contra softwares maliciosos, o HIPS faz sua análise baseada em
hosts, porém por se tratar de um IPS, é capaz de tomar decisões em cima de suas próprias análises.

O HIPS é um sistema que tem acesso direto às aplicações do Sistema

Operacional e do próprio Kernel.
Assim o mesmo torna suas inspeções e tomadas de decisões mais fáceis ou também pode ser feito com
que o mesmo monitore mais de perto uma aplicação específica, exemplo editor de 30 textos,
protegendo-o contra um possível ataque. E ainda pode ser feito com que o HIPS monitore as partes
principais do sistema, ou seja, o mesmo faz a análise de todo o fluxo de dados e procura por ataques em
potencial. Além disto, o HIPS não tem problemas com conteúdo criptografado já que a criptografia e
descriptografia ocorrem no host que o mesmo monitora, ou seja, ele já tem acesso às informações
descriptografadas.
NIPS (NETWORK INTRUSION PREVENTION SYSTEM)
Tecnologia que utiliza um software instalado em um dispositivo inline, em uma

rede de computadores.
Um exemplo de dispositivos inline: os roteadores e switches que são responsáveis por repassar pacotes
IP’s entre redes.
O seu principal objetivo é verificar os pacotes que transitam pelo mesmo dentro do
segmento de rede por ele monitorado.
O mesmo inspeciona cada pacote que passa através dele e verifica por qualquer indicação de exploração
de vulnerabilidade. Quando identificado um ataque, ele toma as devidas decisões baseadas em suas
regras existentes, sendo assim o mesmo pode bloquear o tráfego suspeito.
Faz-se necessário tomar alguns cuidados quanto à implantação de um IPS, pois assim como os IDS os IPS
também podem ter problemas no caso de sua implantação em uma rede de alta velocidade, o IPS no
caso por trabalhar inline na rede caso não consiga fazer o gerenciamento dos dados que trafegam na
mesma pode causar um gargalo na rede e como consequência perca no quesito velocidade da rede.
16.2.4. TIPOS DE DETECÇÕES DE UM IPS

As detecções podem ser feitas de três diferentes maneiras. São elas: baseadas em anomalias, baseadas
em assinaturas e as híbridas.
SISTEMAS DE DETECÇÃO DE INTRUSÃO BASEADO EM ANOMALIAS

Referem-se a sistemas cuja finalidade é fazer a detecção de comportamentos
anormais da rede, hosts, ou seja, o sistema tem como premissa, a de que cada
usuário tem um perfil de recursos e utilizações de serviços na rede ou host,
sendo assim qualquer desvio do padrão será analisado como anomalia.
O sistema realiza uma espécie de auditoria das informações que são coletadas dos tráfegos de rede e logs
do sistema, e com base nos mesmos faz suas análises e detecções.

A detecção de anomalias estatísticas toma amostras aleatórias do tráfego de rede e as compara com um
patamar de desempenho pré-calculado. Quando a amostra da atividade do tráfego de rede está fora dos
parâmetros de um patamar de desempenho, o IPS realiza uma ação para resolver a situação.
SISTEMAS DE DETECÇÃO DE INTRUSÃO BASEADO EM ASSINATURAS

É uma tecnologia muito utilizada atualmente por gerar menos falsos positivos
do que a baseada em anomalias. Consiste na procura de ataques padrões e
previamente conhecidos (assinaturas), ou seja, os ataques contêm características
precisas e facilmente codificadas por um sistema especialista.
Em muitos softwares existem falhas, e são estas falhas que são visadas pelos atacantes que por sua vez
desenvolvem diferentes tipos de invasões, exemplos: scripts e vírus. Assim quando é feito a criação
desses vírus, os mesmos contêm características próprias que também são conhecidas como assinaturas.
Após tomar conhecimento da existência destas assinaturas é que são baseadas e criadas estas detecções.
É feito a análise do tráfego e quando detectado uma assinatura correspondente ao do tráfego analisado,
gera-se uma alerta ou é registrado o evento em forma de log.
ASSINATURAS VOLTADAS PARA EXPLOIT

Identificam exploits individuais, ativando-se nos padrões exclusivos de uma tentativa específica de
exploit. O IPS pode identificar exploits específicos encontrando uma correspondência com uma
assinatura voltada para exploit no fluxo de tráfego.
ASSINATURAS VOLTADAS PARA VULNERABILIDADE
São assinaturas mais amplas cujo objetivo é destacar a vulnerabilidade no

sistema que está sendo visado.
Essas assinaturas permitem que as redes se protejam de variantes de um exploit que podem ainda não
ter sido diretamente observadas, mas também levanta o risco de falsos positivos.
A DETECÇÃO DE INTRUSÃO HÍBRIDA

União de dois métodos (anomalias e assinaturas). O objetivo é acabar ou reduzir as deficiências
existentes em cada uma delas, ou seja, assim pode-se fazer a detecção de assinaturas conhecidas e ainda
poder obter outros tipos de ataques com assinaturas ainda não conhecidas, obtendo assim um maior
sucesso e gerando menos falsos positivos.
16.2.5. PREVENÇÃO
O IPS normalmente localiza-se diretamente atrás do firewall, proporcionando uma camada
complementar de análise que seleciona negativamente o conteúdo perigoso.

Fonte: http://tinyurl.com/gnhb7gy
Diferentemente de seu predecessor, o Sistema de Detecção de Intrusão (IDS) - que é um sistema passivo
que examina o tráfego e informa sobre ameaças - o IPS é colocado em linha (no caminho de
comunicação direto entre origem e destino), analisando ativamente e realizando ações automaticamente
em relação a todo o fluxo de tráfego que entra na rede. Essas ações incluem:
• Enviar um alarme ao administrador (como poderia ser em um IDS)
• Derrubar pacotes maliciosos
• Bloquear o tráfego a partir do endereço de origem
• Redefinir a conexão
Como um componente de segurança em linha, o IPS deve funcionar de forma eficiente para evitar a
degradação do desempenho de rede. Ele também deve trabalhar rápido, porque os exploits podem
ocorrer quase em tempo real. O IPS também deve detectar e responder de forma precisa, de modo a
eliminar ameaças e falsos positivos.
16.3. SISTEMAS DE DETECÇÃO E PREVENÇÃO DE INTRUSÃO (IDPS)

Um Sistema de Detecção e Prevenção de Intrusão (IDPS - Intrusion Detection
and Prevention System) é um sistema híbrido, surgido a partir da junção dos
sistemas IDS e IPS.
Administradores tem a opção de desativar as funções de IPS, fazendo com que o sistema passe a
funcionar apenas como IDS.
Os Sistemas de Detecção e Prevenção de Intrusão (IDPS) foram uma necessidade

para conter atividades maliciosas na rede.
Com o simples dever de detectar, manter um log e tentar bloquear atividades maliciosas da rede, o IPS
veio preencher uma lacuna que o firewall por si só não preenche.

16.3.1. ANÁLISE DETALHADA DE TRÁFEGO

Esta solução realiza uma análise mais detalhada do tráfego de rede. Chegando à camada da aplicação se
necessário, em busca de assinaturas maliciosas, uso indevido de protocolo ou anomalias de rede.
A solução pura de firewall não examina em detalhes o trafégo de aplicações permitidas como servidor
web ou emails, deixando uma brecha a ser explorada por ameaças ou mesmo uso inconsequente da
rede. O IPS atua neste trafégo que o firewall não filtrou.
16.3.2. TIPOS DE IDPS

Existem muitos tipos de tecnologias IDPS, as quais são diferenciadas principalmente pelos tipos de
eventos que as mesmas podem monitorar e as formas que são empregadas:
Baseado em rede monitora o trafego de rede para dispositivos ou seguimentos de rede em

particular e analisa a rede e a atividade de protocolos de aplicação para
identificar atividade maliciosa;
Baseado em redes sem fio monitora o tráfego de rede sem fio e o analisa para identificar atividade
maliciosa e suspeita que envolva o próprio protocolo de rede sem fio.
Detecção de examina o trafego de rede para identificar ameaças que gerem um

comportamento anômalo trafego de rede anormal, como ataques DDoS, escaneamento de portas e
de rede alguns tipos de malware.
Baseado em Host monitora as características de um único host e os eventos que ocorrem

no mesmo de forma suspeita.
Para saber mais assista aos vídeos:

http://tinyurl.com/z7pj26e
http://tinyurl.com/hrnpxyu
http://tinyurl.com/h9weyms
http://tinyurl.com/jfe3le5
http://tinyurl.com/jutrub9
Aula 17 | HONEYPOTS E HONEYNETS
Os sistemas de detecção de intrusão são utilizados como fonte de conhecimento sobre novos ataques,
além de sua função principal, que é a de detecção, porém os honeypots podem nos ensinar muito mais.
Um honeypot não deve conter dados ou aplicações muito importantes para a organização,
e tem único objetivo passar-se por um verdadeiro equipamento da organização que é
configurado para interagir com um atacante em potencial.

Desta forma, as características da técnica utilizada e do ataque em si podem ser capturados e estudados.
17.1. HONEYPOT
De acordo com Lance Spitzner, membro-fundador do Projeto Honeynet, um honeypot é um recurso de
segurança, cujo valor reside em serem sondados, atacados ou comprometidos.
Honeypot (pote de mel) é um recurso computacional de segurança dedicado a

ser sondado, atacado ou comprometido. É uma ferramenta que tem a função de
propositalmente simular falhas de segurança de um sistema e colher
informações sobre o invasor. É um tipo de armadilha para invasores. Um
honeypot não oferece nenhum tipo de proteção.
Segundo Assunção um honeypot é uma ferramenta ou sistema criado com objetivo de enganar um
atacante e fazê-lo pensar que conseguiu invadir o sistema, quando na realidade, ele está em um
ambiente simulado, tendo todos os seus passos vigiados e registrados.
Fonte: http://tinyurl.com/gp2gxyv
Com afirma Montes os honeypots podem ser classificados em dois níveis de serviços: o de baixa interação
e o de alta interação.
17.1.1. HONEYPOT DE BAIXA INTERATIVIDADE

No honeypot chamado de baixa interatividade são instaladas ferramentas para
emular sistemas operacionais e serviços com os quais os atacantes irão interagir.
Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de
modo seguro, para minimizar o risco de comprometimento. Simula apenas serviços que não podem ser
explorados de forma a obter acesso total ao honeypot, dessa maneira, o atacante fica limitado a interagir
apenas com serviços previamente designados. De modo geral, este tipo de honeypot:
• Emulam serviços e sistemas
• Atacante não tem acesso ao sistema operacional real

• Atacante não compromete o honeypot (idealmente)
• Fácil de configurar e manter

• Baixo risco
• Entretanto, Informações obtidas são limitadas
• São exemplos: “listeners” (fica ouvindo” acompanhando eventos), emuladores de serviços,

Honeyd, Nepenthes
Honeyd é um exemplo de ferramenta utilizada para implementar honeypots de baixa interatividade.
17.1.2. HONEYPOT DE ALTA INTERATIVIDADE

Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e
serviços reais.
Honeypot de alta interatividade é um recurso de segurança que fornece ao

atacante acesso a um sistema operacional real, onde nada é emulado ou restrito,
fornecendo grande quantidade de informações sobre atacantes, sendo esta a
principal diferença entre os honeypots de baixa interatividade.
Assim, este tipo, oferece oportunidades de aprendizado superiores, onde é possível identificar novas
ferramentas, identificar novas vulnerabilidades em sistemas operacionais ou aplicativos, aprender como
os invasores, e saber como funciona a comunicação entre eles.
A criação desse tipo de ambiente faz com que exista poucas diferenças de sistemas reais. Na maioria das
vezes, esses não diferem dos sistemas em produção, a diferença está no propósito cujo objetivo está em
serem sondados, atacados ou comprometidos.
Em virtude do nível de interação, existe um nível maior de risco, uma vez que o atacante
tendo controle de um destes honeypot, podem ter liberdade total de fazer o que quiser,
como por exemplo, atacar outros sistemas ou capturar a atividade de produção. Portanto,
deve haver certo trabalho de analisar todos os riscos e controla-los de forma segura.
Normalmente, são colocados dentro de um ambiente controlado, atrás de um firewall, sendo o único
controle realizado, trazendo certa complexidade em fazer com que o atacante não perceba que está
sendo monitorado. De modo geral, este tipo de honeypot:
• Faz uso de serviços legítimos – Cuidados especiais para evitar que sejam usados para lançamento
de ataques;
• Coleta de inteligência, análise de tendências;
• 0-day attacks (novas vulnerabilidades descobertas pelo próprio atacante), captura de

ferramentas, entre outros;
• São difíceis de administrar e manter;
• Aplicabilidade:
§ Análise detalhada de ferramentas e vulnerabilidades exploradas;
§ Coletar material para análise forense e;
§ treinamento de pessoal.

Exemplos de honeypots de alta interatividade são as honeynets e as honeynets virtuais. Baixa x Alta
Interatividade (Segundo Jessen e Chaves).
Características Baixa Interatividade Alta Interatividade
Instalação Fácil Mais difícil
Manutenção Fácil Trabalhosa
Obtenção de informação Limitada Extensiva
Necessidade de mecanismos de contenção Não Sim
Atacante tem acesso ao SO real Não (em teoria) Sim
Aplicações e serviços oferecidos Emulados Reais
Atacante pode comprometer o honeypot Não (em teoria) Sim
Risco da organização sofrer um comprometimento Baixo Alto
17.1.3. TIPOS DE HONEYPOTS

Basicamente, existem dois tipos de honeypots
HONEYPOTS DE PESQUISA
São ferramentas de pesquisa programadas para observar as ações de atacantes e invasores, facilitando as
análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas.
Eles são mais utilizados para estudos ou por empresas de proteção contra ataques.
Os honeypots de pesquisa têm despertado muita atenção, pois são usados para obter informações sobre
as ações de atacantes. O Honeynet Project, por exemplo, é uma organização voluntária de pesquisa de
segurança que utiliza os honeypots para coletar informações sobre ataques cibernéticos.
Esse tipo de honeypot trabalha fora da rede local da empresa, sendo que, uma configuração mal feita
pode acarretar em novos ataques.
HONEYPOTS DE PRODUÇÃO
São aqueles utilizados em redes de produção como complemento ou no lugar de sistemas de detecção
de intrusão. Tem como objetivo analisar e detectar atacantes na rede, consequentemente tomando as
devidas providencias o mais rápido possível.
Os honeypots de produção têm despertado menos atenção, apesar de serem utilizados para proteger as
empresas. Porém, cada vez mais os honeypots vêm sendo reconhecidos pela capacidade de detecção que
podem proporcionar e pelas maneiras com que suplementam a proteção contra intrusões baseadas na
rede e no host.
Os honeypots de produção são utilizados por empresas e instituições que visam proteger suas redes.

17.1.4. FERRAMENTAS HONEYPOTS

No mercado atual, existem várias ferramentas que são utilizadas para a implementação dos honeypots.
Dentre elas encontramos o Deception Toolkit (DTK - http://www.all.net/dtk/dtk.html ), o Cyber Cop Sting, o
Honeyd, o KFsensor, o Nepenthes, o Dionaea, o BackOfficer Friendly (BOF), o Specter e o Valhala. Existem
outras, mas as citadas são as mais conhecidas no ramo de segurança.
Fonte: http://tinyurl.com/huayaqt
17.1.5. LOCALIZAÇÃO DOS HONEYPOTS

Um Honeypot pode estar localizado em qualquer local que tenha um servidor, porém deve ser levado em
consideração que alguns locais são mais apropriados conforme a finalidade e sua política de segurança.
Um Honeypot pode ser colocado tanto para Internet ou para a intranet, conforme o
serviço a ser oferecido.
Ele pode ser posicionado em três lugares diferentes, conforme descreve Marcelo e Pitanga:
• A frente de Firewall - Nesta localização o risco é menor, porém a quantidade de informações

indesejáveis é muito maior, tal como portscans (sniffing de portas) e padrões de ataque. A grande
desvantagem é a dificuldade de pegar intrusos na rede interna devido à grande quantidade de
informações, como ilustra a figura abaixo:
• Por trás do Firewall - Nesta localização as políticas de segurança devem ser modificadas, para que
o nível de segurança seja maior, devem ser feitas também alterações nas assinaturas do sistema
de detecção de intrusos, para não ter alertas desnecessários. Esta localização tem uma grande

vantagem, ela consegue identificar atacantes internos e identificar má configuração do Firewall,

como pode ser visto na figura abaixo:
• Na zona desmilitarizada (DMZ) - Nesta localização tem como finalidade evitar que o hacker fuja
pela Internet, ao gateway de acesso ou para rede interna, porém deve se levar em consideração
que as regras e assinaturas do sistema de detecção de intrusão devem estar bem definidas nesta
área de defesa, como vemos na figura abaixo:
Lembre-se, honeypots não são substitutos para as melhores práticas de segurança, nem para as políticas
de segurança, nem para a implementação firewalls, IPS e IDS e nem para o gerenciamento de patches.
Aprenda mais sobre honeypot assistindo aos vídeos:

http://tinyurl.com/hr4kzod
http://tinyurl.com/halrwnp
http://tinyurl.com/gs7ta2v
http://tinyurl.com/hs2tok3
Veja também o tutorial em:
http://tinyurl.com/gp3ef5d

17.2. HONEYNET
Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada
especificamente para ser comprometida, e que contém mecanismos de controle
para prevenir que seja utilizada como base de ataques contra outras redes.
Segundo Assunção uma honeynet é formada por um conjunto de honeypots que simulam uma rede de
produção, que é configurada para que as suas atividades possam ser monitoradas, gravadas e, em certo
grau, controladas. É uma rede configurada para ser invadida, no qual todo tráfego que entra ou sai do
gateway/roteador é considerada uma invasão.
Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando
análises detalhadas das ferramentas utilizadas, de suas motivações e das vulnerabilidades exploradas.
Fonte: http://tinyurl.com/hphf7jn
Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas
operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção
robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para
geração de alertas.
Existem dois tipos de honeynets: as honeynets reais (ou simplesmente

honeynets) e as honeynets virtuais.
Veja mais no site: http://tinyurl.com/jqgf4
17.2.1. HONEYNETS REAIS

Na honeynet real todos os dispositivos que a compõem, incluindo o honeypot, mecanismos de contenção,
mecanismo de alerta e mecanismo de coleta de informações são físicos. Exemplificando, uma honeynet
real poderia ser composta por diversos computadores, sendo que cada um poderia conter um honeypot,
firewall, IDS e IPS, entre outros.
Fonte: http://tinyurl.com/jf58djc
Exemplificando, uma honeynet real pode ser composta pelos seguintes dispositivos:
• diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional,
aplicações e serviços reais instalados;
• um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta

de dados;
• um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de

coleta de dados;
• um computador atuando como repositório dos dados coletados;
• hubs/switches e roteador (se necessário) para fornecer a infraestrutura de rede da honeynet.

As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído),
e os atacantes interagem com ambientes reais.
As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico
para os equipamentos, e custo total tende a ser mais elevado.
17.2.2. HONEYNETS VIRTUAIS

As Honeynets reais consomem muitos recursos, são difíceis de se construir e complexas para se manter.
Estes problemas podem ser minimizados com as honeynets virtuais. Esta solução permite a execução de
todas as ferramentas necessárias em um só computador. O termo virtual é usado, porque os diferentes
sistemas operacionais contidos no software de virtualização parecem estar rodando em seus próprios
equipamentos. Esta tecnologia tem vantagens e desvantagens que veremos a seguir.
Custo reduzido e gerenciamento fácil são as principais vantagens da Honeynet virtual.

Antes, era preciso adquirir, por exemplo, oito computadores diferentes para construir uma Honeynet
completa, agora, precisa-se apenas de um equipamento. Todavia, esta simplicidade possui seu custo.
Primeiro, o software de virtualização limita o hardware e o tipo de sistema operacional que você pode simular.
Segundo, um atacante pode vir a comprometer o software de virtualização, e assim, comprometer a
totalidade da Honeynet. Por fim, se os invasores quebrarem os sistemas contidos na Honeynet virtual, eles
estarão aptos a determinar todos os sistemas que estão rodando no ambiente virtual.
Uma honeynet virtual baseia-se na ideia de ter todos os componentes de um honeypot implementados
em um número reduzido de dispositivos físicos.
Fonte: http://tinyurl.com/hn5jox3
Para concretizar tal ideia, normalmente é utilizado um único computador com um sistema operacional
instalado, que serve de base para a execução de um software de virtualização como o VMware, VirtualBox
entre outros. Uma desvantagens que devemos estar atentos são o alto custo por dispositivo, pois são
necessários equipamentos mais robustos para um bom desempenho da honeynet, e o atacante pode ter
acesso a outras partes do sistema, pois tudo é compartilhado de um mesmo computador e o mesmo
pode perceber que esta interagindo com um ambiente falso, uma rede virtual.
De acordo com Honeynet Projetc o conceito do funcionamento de uma honeynet é criar uma
rede altamente controlada. Spitzner diz que a ideia da honeynet é a de ter uma arquitetura que
cria uma rede altamente controlada, onde colocamos dentro desta rede sistemas de produção
e assim toda atividade realizada dentro dela será capturada, armazenada e analisada para
criação de possíveis métodos de proteção contra ataques cibernéticos.

Honeynet Project ainda afirma que a captura de dados e o controle de dados são os grandes
responsáveis para que uma honeynet seja bem elaborada.
Veja mais sobre honeynet assistindo aos vídeos:

http://tinyurl.com/hgok8jj
http://tinyurl.com/jf7s4yh
http://tinyurl.com/h7nl74c
Aula 18 | VPN
As redes privadas virtuais (VPN — Virtual Private Network) têm uma importância fundamental para as
organizações, ao permitirem que as conexões dedicadas sejam substituídas pelas conexões públicas.
Além do que ocorre com as conexões privadas, também é possível obter economia com a substituição
das estruturas de conexões remotas, que podem ser eliminadas em função da utilização dos clientes e
provedores VPN. Porém, essas vantagens requerem uma série de considerações com relação à segurança,
em especial com os clientes VPN.
18.1. VPN
Virtual Private Network é um termo bastante utilizado atualmente.
A possibilidade de uso de uma rede pública como a internet para interligar

escritórios comerciais e grandes empresas tem permitido a redução de custos e vai
viabilizar negócios que têm como premissa requisitos de comunicação eficiente.
Dessa forma, gestores de empresas vêm buscando mecanismos para manter as equipes sempre em
comunicação, visando diminuir os investimentos em infraestrutura de TI ou até mesmo buscando melhor
uso do parque tecnológico já instalado.
Uma solução efetiva de VPN visa transportar os dados de modo seguro e sigiloso, usando um canal
compartilhado para interligar duas redes privadas protegidas. Para que isso ocorra, precisamos alcançar
alguns objetivos importantes:
• Confidencialidade dos dados: garantia de que a mensagem não poderá ser interpretada por
origens não autorizadas.
• Integridade dos dados: garantia de que o conteúdo da mensagem não foi alterada durante a
transmissão entre o emissor e o receptor.
• Não repúdio do emissor: o emissor não poderá repudiar o envio da mensagem, ou seja, dizer que
ele não enviou a mensagem questionada, com embasamento legal.
• Autenticação da mensagem: garantia de que a mensagem foi enviada por uma fonte autêntica e
será entregue a um destino autêntico.
Na tabela abaixo, podem ser observadas as camadas do modelo OSI e as respectivas aplicações de
tecnologias de VPN.
Modelo OSI Tecnologia VPN
Camada 7: Aplicação --------à HTTPS, S/MIME. PGP
Camada 6: Apresentação --------à N/A
Camada 5: Sessão --------à N/A
Camada 4: Transporte --------à SSL e TLS, SOCKS, SSH
Camada 3: Rede --------à IPSec, MPLS VPNS
Camada 2: Enlace --------à PPTP, L2TP, L2F, ATM cell encryptors
Camada 1: Fisíca --------à RF encryptors, optical bulk encryptors
18.2. OBJETIVOS DE UMA VPN

• Confidencialidade dos dados.
• Integridade dos dados.
• Não repúdio do emissor.
• Autenticação da mensagem.
18.3. ALGUMAS IMPLEMENTAÇÕES ESPECÍFICAS DE APLICAÇÕES VPN

18.3.1. VPN PPTP
Analisando o modelo OSI, a VPN PPTP encontra-se na camada de enlace por ser uma derivação do
protocolo Point to Point Protocol (PPP), que consiste em um protocolo de comunicação ponto a ponto,
muito utilizado no passado em linhas telefônicas. O PPTP foi desenvolvido pela Microsoft com o objetivo
de incrementar recursos ao PPP.
Fonte: http://tinyurl.com/jxcbkbz
Ele utiliza a autenticação do PPP com um recurso de túnel que pode ser criptografado utilizando
criptografia de 40 ou 128 bits.

Fonte: http://tinyurl.com/zsl9m2n
O PPTP é um protocolo orientado à conexão, o que exige uma estrutura cliente/servidor.

Sendo assim, ele trafega por padrão na porta TCP 1723. Para estabelecer o túnel PPTP em
redes com firewall, é necessário liberar essa porta TCP e utilizar NAT.
Será necessário NAT de um-para-um ou algum protocolo especial para permitir o uso de PPTP. Foram
desenvolvidas várias formas de autenticação do PPP, sendo as mais usuais:
Protocolo de protocolo de autenticação simples em que o cliente do túnel PPP enviará o

Autenticação de Palavras usuário e a senha para o servidor em texto claro.
(PAP - Password
Authentication Protocol):
Challenge Handshake protocolo de autenticação em que o cliente e o servidor responderão a um

Authentication Protocol desafio, através de senha criptografada com o algoritmo HASH MD5, que,
(CHAP): trocada entre o cliente e o servidor, evita que a senha seja transmitida em
texto claro.
MS-CHAP: protocolo proprietário da Microsoft criado para autenticar estações de

trabalho remotas baseadas no Windows. Tal como o CHAP, o MS-CHAP
utiliza um mecanismo de contestação-resposta para autenticar ligações sem
enviar a palavra-chave em texto claro. O MS-CHAP utiliza o algoritmo Hash
MD4 (Message Digest 4) e o algoritmo de encriptação Data Encryption
Standard (DES) para gerar a autenticação challenge/response. O MS-CHAP
também fornece mecanismos para comunicar erros de ligação e para alterar
a palavra-passe do utilizador.

Podemos verificar, assim, que o CHAP e o MS-CHAP são preferíveis ao PAP, pois não trafegam a senha em
texto claro.
18.3.2. L2TP
O L2TP é um protocolo aberto, especificado na RFC 2661. Foi desenvolvido por um grupo de empresas
incluindo Cisco e Microsoft.
Assim como o PPTP, o L2TP utiliza a estrutura cliente servidor, mas é orientado
a pacotes.
Dessa forma, alguns problemas de desempenho do PPTP foram contornados, por utilizar UDP como
protocolo de transporte.
Para implementar o túnel L2TP em redes com firewall por padrão, é necessário liberar a porta UDP 1701.
Como é um protocolo orientado a pacotes, o NAT pode ser implementado no modelo um-para-muitos
ou um-para-um. Por ser mais leve e prover melhor desempenho, recomenda-se usar o L2TP no lugar do
PPTP, sempre que possível. Deve-se ainda evitar o PPTP, especialmente as versões com chaves de 40 bits,
pois diversas vulnerabilidades já foram descobertas nesse protocolo.
18.3.3. IPSEC
A segurança de IP (IPSec) é uma capacidade que pode ser acrescentada a qualquer versão atual do
protocolo Internet: IPv4 e IPv6, por meio de cabeçalhos adicionais. O IPSec atua na camada de rede do
modelo OSI, por criptografar o conteúdo (payload) do pacote IP.
Como o IPSec não é um protocolo único, mas sim um conjunto de protocolos, cada qual com um objetivo
específico, podemos chamar o IPSec de suíte de segurança IP.
Os protocolos inclusos na suíte de segurança IP estão focados na entrega da

mensagem autêntica, com integridade dos dados confidencialidade dos dados e
não repúdio do emissor.
A especificação do IPSec consiste em várias RFCs, sendo as mais importantes delas emitidas em 1998. São elas:
• RFC 2401: descrição da visão geral de uma arquitetura de segurança.
• RFC 2402: descrição de uma extensão de autenticação de pacotes para IPv4 e IPv6.
• RFC 2406: descrição de uma extensão de criptografia de pacote para IPv4 e IPv6.
• RFC 2408: especificação das capacidades de gerenciamento de chaves.

Além das quatro RFCs, diversos rascunhos foram publicados pelos grupos de trabalho do IP Security
Procotol. Os documentos estão descritos na RFC 2401, divididos em sete grupos, conforme a figura a
seguir:

Fonte: http://tinyurl.com/j8elnmg
ARQUITETURA
Abrange os conceitos gerais, os requisitos de segurança, definições e mecanismos, definindo a
tecnologia IPSec.
PROTOCOLO ESP (ENCAPSULATING SECURITY PAYLOAD

Abrange o formato de pacote e questões gerais relacionadas ao uso de ESP para criptografia de pacote e,
opcionalmente, autenticação.
PROTOCOLO AH (AUTHENTICATION HEADER)

Abrange o formato de pacote e questões gerais relacionadas ao uso do AH para autenticação de pacotes.
ALGORITMO DE CRIPTOGRAFIA
Um conjunto de documentos que descrevem como diversos algoritmos de criptografia são usados para ESP.
ALGORITMO DE AUTENTICAÇÃO
Um conjunto de documentos que descrevem como vários algoritmos de autenticação são usados para
AH e para a opção de autenticação do ESP.
GERENCIAMENTO DE CHAVES
Documentos que descrevem esquemas de gerenciamento de chaves. Exemplo: ISAKMP.
DOMÍNIO DE INTERPRETAÇÃO
São valores para os outros documentos se relacionarem entre si. Incluem identificadores para algoritmos
aprovados de criptografia e autenticação, além de parâmetros operacionais, como tempo de vida da chave.
MODOS DE OPERAÇÃO DO IPSEC

a) Cifragem de blocos: divide os dados em conjuntos de tamanho fixo (chamados de blocos)
§ Electronic Codebook (ECB).
§ Cipher-Block Chaining (CBC).
§ Propagating Cipher-Block Chaining (PCBC).
§ Cipher Feedback (CFB).
§ Output Feedback (OFB).
§ Counter (CTR).
b) Cifragem stream – realiza a cifragem de bits. Não há a necessidade de aguardar a formação de um bloco.
§ RC4.
§ A5/1 (usado em redes GSM de telefonia celular).
c) Modo de Transporte: esse modo oferece proteção principalmente para os protocolos das
camadas superiores. Esse modo de operação do IPSec criptografa todo o payload do pacote IP.
Compatível com protocolos IP: UDP, TCP e ICMP.
d) Modo de Túnel: esse modo de operação oferece proteção a todo pacote IP. Todo o pacote
original viaja por um “túnel” de um ponto de uma rede IP para outro, e nenhum roteador ao
longo do caminho é capaz de examinar o cabeçalho IP interno.
PROTOCOLOS IPSEC
Fonte: http://tinyurl.com/jt6f7xf
O IPSec oferece serviços de segurança na camada de IP, permitindo que um sistema selecione protocolos
de segurança exigidos, e determine os algoritmos necessários para os serviços, colocando no lugar
quaisquer chaves criptográficas exigidas para oferecer os serviços solicitados.
Dois protocolos podem ser usados para oferecer segurança: autenticação do cabeçalho (AH) e um
protocolo combinado de criptografia e autenticação, designado pelo formato de pacote para esse
protocolo, denominado Encapsulamento de Segurança do Payload (ESP). Os serviços e suporte de cada
protocolo IPSec seguem listados na tabela a seguir:
AH ESP ESP + AH
Controle de acesso Sim Sim Sim
Integridade sem conexão Sim Sim
Autenticação da origem Sim Sim
Rejeição de pacotes repetidos Sim Sim Sim
Confidencialidade Sim Sim
O IPSec pode ser utilizado tanto para comunicação segura entre computadores (geralmente no modo
transporte), quanto para o estabelecimento de VPN (geralmente no modo túnel).
Fonte: http://tinyurl.com/zp4kqcz
Fonte: http://tinyurl.com/jnq65cw
Alguns sistemas operacionais atuais, já possuem suporte nativo a IPSec, de modo que é possível que todo
o tráfego entre servidores seja criptografado. Normalmente para utilizar IPSec, os roteadores presentes na
rede devem suportar e entender o protocolo, para poderem encaminhar corretamente os dados.
ENCAPSULATING SECURITY PAYLOAD (ESP)
Estabelece mecanismos de garantia da privacidade e integridade do conteúdo,

utilizando técnicas de criptografia e código Hash, respectivamente.
Na criptografia, normalmente são utilizados algoritmos DES, 3DES ou AES. Para o código Hash são
utilizada funções MD5 ou SHA-1.
AUTHETICATION HEADER (AH)
Estabelece mecanismos de verificação da autenticidade e integridade de

pacotes IP.
Normalmente, na verificação da autenticidade de pacotes, é calculado o Hash de HMAC (Hash Message

Authentication Code) usando funções de Hash MD5 ou SHA-1.
Conheça sobre o Manual:IP/IPsec:

http://tinyurl.com/2arb8zq
Para conhecer mais assista aos vídeos:
http://tinyurl.com/gr8rmh6
http://tinyurl.com/zdfagf4
http://tinyurl.com/hdeakk7
18.3.4. VPN SSLA

Com o uso de VPNs baseadas em SSL, é possível ter acesso a aplicações ou redes remotas, tendo como
acesso qualquer tipo de conectividade à internet.
Pode ser implementada via:
• Cliente VPN SSL
• Navegador web
• Instalação simplificada do agente
Quando precisamos de segurança apenas em uma aplicação específica, como navegação

na internet, envio de correio eletrônico e mensagens instantâneas, utilizamos a
criptografia na comunicação entre essas aplicações. As escolhas mais populares de
criptografia para esse cenário são TLS (Transport Layer Security) e SSL (Security Sockets

Layer). Embora os dois protocolos tenham a mesma finalidade, existem diferenças sutis
entre eles.
Ambos os protocolos suportam uma variedade de algoritmos de criptografia ou cifras para realizar
algumas funções, como a autenticação do servidor e do cliente, transmissão de certificados e
estabelecimento das chaves de sessão.
Para a criptografia em massa dos dados, algoritmos simétricos são utilizados. Algoritmos
assimétricos são utilizados para autenticação e troca de chaves. O Hash é utilizado como
parte do processo de autenticação.
Com o uso de VPNs baseadas em SSL, é possível ter acesso a aplicações ou redes remotas, tendo
como acesso qualquer tipo de conectividade à internet, sendo necessário apenas um navegador da
internet ou um software cliente instalado na máquina do usuário. Essa flexibilidade permite às VPNs
baseadas em SSL prover acesso de qualquer lugar a recursos computacionais de uma empresa. Dessa
forma, colaboradores de uma empresa podem utilizar VPNs baseadas em SSL para ter acesso remoto
a aplicações de uma empresa.
Existem algumas etapas no estabelecimento da sessão VPN SSL que podem ser descritas em fases,
conforme ilustra a figura a seguir:
a) Nesta fase, o equipamento do usuário estabelece uma conexão TCP na porta 443 do servidor.
b) O servidor SSL apresenta um certificado digital que contém a chave pública digitalmente
assinada por uma Autoridade Certificadora confiável.
c) O computador do usuário gera uma chave simétrica compartilhada entre as duas partes,
cliente e servidor.
d) A chave pública do servidor é utilizada para criptografar a chave compartilhada e transmitir para
o cliente. O software do servidor utiliza a chave privada para descriptografar a chave
compartilhada enviada pelo cliente. Assim que o servidor realizar esse
processo, ambos terão acesso à chave compartilhada.
e) A chave compartilhada então é utilizada para criptografar o dados
transmitidos na sessão SSL.
O OpenVPN (https://openvpn.net/ ) é um exemplo de software livre, que utiliza
SSL para criar túneis VPN. Uma vantagem das VPN SSL em relação ao IPSec é que
Fonte:
a liberação do acesso através de um firewall é bem mais simples, pois envolve http://tinyurl.com/hqu2nw
p
apenas uma porta (443 TCP), que normalmente já é liberada pra acessos www
seguros (HTTPS).

Fonte: http://tinyurl.com/jkqmhjx
Conheça mais sobre OpenVPN assistindo aos vídeos:

http://tinyurl.com/ze4aa3x
http://tinyurl.com/h2skvqv
http://tinyurl.com/hc83anz
http://tinyurl.com/odk3wtd
Você terminou o estudo desta unidade. Chegou o momento de verificar sua aprendizagem.
Ficou com alguma dúvida? Retome a leitura.
Quando se sentir preparado, acesse a Verificação de Aprendizagem da unidade no menu
lateral das aulas ou na sala de aula da disciplina. Fique atento, essas questões valem nota!
Você terá uma única tentativa antes de receber o feedback das suas respostas, com
comentários das questões que você acertou e errou.
Vamos lá?!

REFERÊNCIAS
Assunção, Marcos Flávio Araújo. Honeypots e Honeynets:Aprenda a Detectar e Enganar Invasores:
Visual Books. Rio , 2009.
BACE, Rebeca e MELL, Peter. Intrusion detection systems: NIST Special Publication on IDS, 2000.
BLOCKBIT. IPS: Sistema de Prevenção de Intrusos. Disponível em < https://www.blockbit.com/pt-br/ips-

sistema-de-prevencao-de-intrusos/>. Acesso em 5 out 2016.
BRADREESE. Intrusion Prevention Systems. Disponível em < http://www.bradreese.com/sourcefire-ips-

for-dummies.pdf>. Acesso em 5 out 2016.
BRANCO, Rodrigo Rubira. SHA – Descrição e Resumo. Programa de Pós Graduação Latu-Sensu
ITA/Stefanini. Disponível em < http://www.kernelhacking.com/rodrigo/docs/trabalhoSHA.pdf>. Acesso
em 28 set 2016.
CAMINHANDOLIVRE. IDS/IPS, o que é isso afinal? 2009. Disponível em <

https://caminhandolivre.wordpress.com/2009/01/05/idsips-o-que-e-isso-afinal/>. Acesso em 5 out 2016.
CASWELL, Brian et al. Snort 2: Sistema de detecção de intrusão. Rio de Janeiro: Alta Books, 2003.
CCM. Sistemas de prevenção de intrusão (IPS). Disponível em <http://br.ccm.net/contents/165-

sistemas-de-prevencao-de-intrusao-ips >. Acesso em 5 out 2016.
CERT.BR – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de

Segurança para Internet: Criptografia. Disponível em < http://cartilha.cert.br/criptografia/>. Acesso em
28 set 2016.
CERT.BR. Criptografia. Disponível em < http://cartilha.cert.br/criptografia/>. Acesso em 5 out 2016.
CLM. Sistemas de Detecção e Prevenção de Intrusão (IDPS). Disponível em <

https://www.clm.com.br/solucoes/idps.htm >. Acesso em 5 out 2016.
COMER, Douglas E. Interligação em rede com TCP/IP: princípios, protocolos e arquitetura. Rio de
Janeiro: Campus, 2006.
COMPUTADOR PORTUGUÊS. O que é um ataque Smurf. Disponível em

<http://ptcomputador.com/Networking/network-security/75746.html#.V-vOC5MrKV6>. Acesso em 28
set 2016.
COMPUTERWORLD. Intrusion Prevention Systems. 2009. Disponível em <

http://www.computerworld.com.pt/2009/05/13/intrusion-prevention-systems/>. Acesso em 5 out 2016.
DAHAB, Ricardo; LÓPEZ-HERNÁNDEZ, Julio C. Técnicas criptográficas modernas: algoritmos e protocolos.

2007. Disponível em <http://www.lca.ic.unicamp.br/~jlopez/jai2007.pdf>. Acesso em 28 set 2016.
DI.UFPE. Um Estudo sobre Criptografia e Assinatura Digital. 1998. Disponível em

<http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm> .Acesso em 5 out 2016.
FORSECURITY. Diferença entre IDS e IPS. 2010. Disponível em <

http://forsecurity.blogspot.com.br/2010/06/diferenca-entre-ids-e-ips.html>. Acesso em 5 out 2016.

GINUX. Detecção de intrusos utilizando o snort. 2005. http://www.ginux.ufla.br/files/mono-

BrunoSantos.pdfAcesso em 5 out 2016.
GRUPOCOMP. Segurança: Sistema de Prevenção de Intrusos (IPS). Disponível em <
http://www.grupocomp.com.br/index.php?option=com_content&view=article&id=139%3Aips-sistema-
de-prevencao-de-intrusos&catid=68%3Asegurancaroktabs&Itemid=67>. Acesso em 5 out 2016.
GTA. Conceito de IDS, IPS e IDPS. 2012. Disponível em <

http://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html>. Acesso em 5 out 2016.
HACKS. Identificação de IDS/IPS. Disponível em < http://www.hacks.pt/ferramentas-kali-linux/recolha-

de-informacao/identificacao-de-ids-ips/>. Acesso em 5 out 2016.
IME. Tabelas de dispersão (hash tables). Disponível em < http://www.ime.usp.br/~pf/mac0122-

2002/aulas/hashing.html>. Acesso em 5 out 2016.
IME/USP – Instituto de Matemática e Estatística da Universidade de São Paulo. Princípios de

Desenvolvimento de Algoritmos - Tabelas de dispersão (hash tables). 2015. Disponível em
<http://www.ime.usp.br/~pf/mac0122-2002/aulas/hashing.html>. Acesso em 28 set 2016.
INFOLINK. 10 “coisinhas” que um IPS efetivo deve fazer. 2013. Disponível em <
http://blog.infolink.com.br/10-coisinhas-que-um-ips-efetivo-deve-fazer/>. Acesso em 5 out 2016.
INPE. Técnicas de monitoração de atividades em honeypots de alta interatividade. Disponível em <
http://mtc-m16.sid.inpe.br/col/sid.inpe.br/marciana/2004/01.19.09.42/doc/tmh-ssi2003.pdf>. Acesso em
5 out 2016.
ITI – Instituto Nacional de Tecnologia da Informação. Certificação digital. Disponível em

<http://www.iti.gov.br/certificacao-digital>. Acesso em 28 set 2016.
ITI. Certificação Digital. Disponível em < http://www.iti.gov.br/certificacao-digital>. Acesso em 5 out 2016.
KASPERSKY. O que é um cavalo de Troia?. Disponível em < http://brazil.kaspersky.com/internet-

security-center/threats/trojans>. Acesso em 5 out 2016.
KASPERSKY. Trojan Virus. Disponível em <http://brazil.kaspersky.com/internet-security-

center/threats/trojans>. Acesso em 28 set 2016.
KERNELHACKING. SHA: Descrição e Resumo. Disponível em <

http://www.kernelhacking.com/rodrigo/docs/trabalhoSHA.pdf>. Acesso em 5 out 2016.
KHAN ACADEMY. Criptografia de chave pública: o que é isso? Disponível em:

<https://pt.khanacademy.org/computing/computer-science/cryptography/modern-crypt/v/diffie-
hellman-key-exchange-part-1>. Acesso em 28 set 2016.
KHANACADEMY. Criptografia de chave pública: o que é isso?. Disponível em <

https://pt.khanacademy.org/computing/computer-science/cryptography/modern-crypt/v/the-
fundamental-theorem-of-arithmetic-1> Acesso em 5 out 2016.
LCA. Técnicas criptográficas modernas: algoritmos e protocolos. Disponível em <

http://www.lca.ic.unicamp.br/~jlopez/jai2007.pdf>. Acesso em 5 out 2016.
LNCC. Sistemas de detecção de intrusos e sistemas de prevenção de intrusos: princípios e aplicação

de entropia. 2008. Disponível em <
http://www.lncc.br/~borges/doc/IDS%20IPS%20e%20Entropia.TCC.pdf>. Acesso em 5 out 2016.

MARTINSFONTESPAULISTA. Virtual Private Network: VPN. Ed Novatec. Disponível em<

http://www.martinsfontespaulista.com.br/anexos/produtos/capitulos/143139.pdf>. Acesso em 5 ou 2016.
MELO, Sandro. Exploração de Vulnerabilidade em Redes TCP/IP. Rio de Janeiro: Alta Books, 2004.
MONTEIRO, Emiliano S. Certificados Digitais - Conceitos e Práticas. Rio de Janeiro: Brasport, 2007
MORAES, Alexandre Fernandes de. Segurança em redes: fundamentos. São Paulo: Érica, 2010.
MORAES, Alexandre Fernandes de. Segurança em redes: fundamentos. São Paulo: Érica, 2010.
MUNDOTECNOLOGICO. Ferramenta IDPS (IDS/IPS): Prontinha pra usar e Open Source. 2011. Disponível
em < https://mundotecnologico.net/2011/09/13/ferramenta-idps-idsips-prontinha-pra-usar-e-open-
source/>. Acesso em 5 out 2016.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio de. Segurança de redes em ambientes cooperativos. São
Paulo: Novatec, 2010.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio de. Segurança de redes em ambientes cooperativos. São
Paulo: Novatec, 2010.
NED, Frank. Ferramentas de IDS: Boletim bimestral sobre tecnologia de redes produzido e publicado
pela RNP. Rede Nacional de Ensino e Pesquisa, n. 5, v.3, 1999.
NIST. Guide to Intrusion Detection and Prevention Systems (IDPS). Disponível em <
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-94.pdf>. Acesso em 5 out 2016.
OLIVEIRA, Wilson. Técnicas para hackers e soluções para segurança: versão 2. Porto:
Centroatlantico.pt, 2003.
OLIVIER, Gracielle Forechi. Estudo e implementação do algoritmo de resumo criptográfico SHA-3.

Monografia apresentada como requisito parcial para conclusão do Curso de Computação — Licenciatura.
Brasília: UnB, 2013. Disponível em
<http://bdm.unb.br/bitstream/10483/6608/1/2013_GracielleForechiOlivier.pdf>. Acesso em 28 set 2016.
OTHONBATISTA. Sistemas de prevenção de intrusos. Disponível em <

http://www.othonbatista.com/index.php/dicas-de-informatica/seguranca-da-informacao/157-sistemas-
de-prevencao-de-intrusos>. Acesso em 5 out 2016.
PALOALTONETWORKS. O que é um sistema de prevenção de intrusão? Disponível em <

https://www.paloaltonetworks.com.br/resources/learning-center/what-is-an-intrusion-prevention-
system-ips.html >. Acesso em 5 out 2016.
PALOALTONETWORKS. What is an intrusion prevention system? Disponível em <

https://www.paloaltonetworks.com/documentation/glossary/what-is-an-intrusion-prevention-system-
ips>. Acesso em 5 out 2016.
PONTES. Tecnologias de Sistemas de Detecção e Prevenção de Intrusão (IDP) aplicados em

ambientes de rede de dados híbridas: avaliação das necessidades e seleção das ferramentas.
http://www.pontes.inf.br/docs/idp.pdfAcesso em 5 out 2016.
PPGIA. Curso de Especialização em Redes e Segurança de Sistemas. 2010. Disponível em <

http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08B/Fauston%20Samuel%20Padilha%20-
%20Artigo.pdf>. Acesso em 5 out 2016.

PROJETODEREDES. IDS x IPS. 2009. Disponível em <

http://forum.projetoderedes.com.br/viewtopic.php?t=741>. Acesso em 5 out 2016.
PTCOMPUTADOR. O que é um ataque Smurf. Disponível em <

http://ptcomputador.com/Networking/network-security/75746.html#.V98h32QrLwc>. Acesso em 5 out 2016.
R. C. Joshi,Anjali Sardana. Honeypots: A New Paradigm to Information Security. CRC Press. 2013.
RICCI, Bruno. Rede Segura. VPN Linux. Ciência Moderna. Rio, 2007.
SEARCHSECURITY. Comparing the best intrusion prevention systems. Disponível em <

http://searchsecurity.techtarget.com/feature/Comparing-the-best-intrusion-prevention-systems>.
Acesso em 5 out 2016.
SEARCHSECURITY. Do you need an IDS or IPS, or both?. Disponível em <

http://searchsecurity.techtarget.com/Do-you-need-an-IDS-or-IPS-or-both>. Acesso em 5 out 2016.
SEARCHSECURITY. Intrusion prevention. Disponível em <

http://searchsecurity.techtarget.com/definition/intrusion-prevention>. Acesso em 5 out 2016.
SEJALIVRE.ORG. As 10 principais ferramentas open source de segurança. 2012. Disponível em <

http://sejalivre.org/as-10-principais-ferramentas-open-source-de-seguranca/>. Acesso em 30 set 2016.
SENAC. IPS E IDS. Disponível em <

http://187.7.106.13/vanessa/TURMAS%20T7%20T8%20T9/SEGURANCA%20DE%20REDE/IPS%20e%20IDS
.pdf>. Acesso em 5 out 2016.
SNORT. Palestra Open Source Security no //CLM/CONNECT/ESPECIAL/CIAB. 2012. Disponível em <

http://www.snort.org.br/>. Acesso em 5 out 2016.
SNORT. Snort 2.9.8.3 is now available. Disponível em < https://www.snort.org/>. Acesso em 5 out 2016.
SOFTWARELIVRE. Snort: Ferramenta livre garante segurança na Rede Serpro. Disponível em <
http://www.softwarelivre.gov.br/>. Acesso em 5 out 2016.
SYMANTEC. Ataque de DoS Smurf. Disponível em

<https://www.symantec.com/pt/br/security_response/glossary/define.jsp?letter=s&word=smurf-dos-
attack>. Acesso em 28 set 2016.
SYMANTEC. Glossário. Disponível em <

https://www.symantec.com/pt/br/security_response/glossary/define.jsp?letter=s&word=smurf-dos-
attack>. Acesso em 5 out 2016.
SYMANTEC. Honeypots de olho na empresa. Disponível em <

http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_2371.html >. Acesso em
5 out 2016.
TECHDATA. Network Intrusion Prevention Systems (IPS). Disponível em <

https://www.techdata.com/fortinet/files/FORTINET_FAQ-
Network%20Intrusion%20Prevention%20Systems_1208111.pdf>. Acesso em 5 out 2016.

TECHTUDO. Vírus de celular é igual a vírus de computador? Entenda as diferenças. 2013. Disponível
em <http://www.techtudo.com.br/artigos/noticia/2013/05/virus-de-celular-e-igual-virus-de-
computador-entenda-diferencas.html>. Acesso em 28 set 2016.
TECMUNDO. 10 mitos e verdades que você precisa saber sobre vírus para celulares. 2014. Disponível
em <http://www.tecmundo.com.br/celular/54897-10-mitos-verdades-voce-precisa-saber-virus-
celulares.htm>. Acesso em 28 set 2016.
TRINTA, Fernando Antonio Mota; MACÊDO, Rodrigo Cavalcanti de. Um Estudo sobre Criptografia e
Assinatura Digital. 1998. Disponível em <http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm>.
Acesso em 28 set 2016.
UNB. Estudo e implementação do algoritmo de resumo criptográfico SHA-3. 2013. Disponível em <
http://bdm.unb.br/bitstream/10483/6608/1/2013_GracielleForechiOlivier.pdf>. Acesso em 5 out 2016.
UNISC. Sistema de detecção de intrusão reativo para redes gerenciadas com mikrotik routeros.
2015. Disponível em <
http://online.unisc.br/acadnet/anais/index.php/salao_ensino_extensao/article/view/14161>. Acesso em
5 out 2016.
W3II. Cryptography Tutorial. Disponível em <http://www.w3ii.com/pt/cryptography/default.html>.

WEBARTIGOS. Segurança de redes com IPS, sua relação com IDS e sua importância no trabalho
conjunto com o Firewall. Disponível em < http://www.webartigos.com/artigos/seguranca-de-redes-
com-ips-sua-relacao-com-ids-e-sua-importancia-no-trabalho-conjunto-com-o-firewall/128465/>. Acesso
em 5 out 2016.
WENDT, Emerson. Crimes Cibernéticos. Rio de Janeiro: Brasport, 2015
WIKIPEDIA. Cavalo de troia (computação). Disponível em <

https://pt.wikipedia.org/wiki/Cavalo_de_troia_(computa%C3%A7%C3%A3o>. Acesso em 5 out 2016.
WIKIPEDIA. Cavalo de troia (computação). Disponível em

<https://pt.wikipedia.org/wiki/Cavalo_de_troia_(computação)>. Acesso em 28 set 2016.
WIKIPEDIA. NetBus. Disponível em <https://pt.wikipedia.org/wiki/NetBus>. Acesso em 28 set 2016.
WIKIPEDIA. SHA-2. Disponível em <https://pt.wikipedia.org/wiki/SHA-2>. Acesso em 28 set 2016.
WIKIPEDIA. SHA-3. Disponível em < https://en.wikipedia.org/wiki/SHA-3>. Acesso em 5 out 2016.
WIKIPEDIA. Vírus de computador. Disponível em <

https://pt.wikipedia.org/wiki/V%C3%ADrus_de_computador>. Acesso em 5 out 2016.
WIKIPEDIA. Vírus de computador. Disponível em <https://pt.wikipedia.org/wiki/Vírus_de_computador>.


UIA3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

UIA3

Transféré par

Droits d'auteur :

Formats disponibles

VERSÃO PARA IMPRESSÃO

SEGURANÇA DE REDES DE COMPUTADORES

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Aula 13 | Segurança na Internet ................................................................................................................6

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

14.12. Certificados digitais ................................................................................................................. 29

17.2.2. Honeynets virtuais ................................................................................................................................................ 54

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Aula 13 | SEGURANÇA NA INTERNET

A presença da internet em nosso cotidiano seja em

13.1. INTERNET E SEGURANÇA

Instalar um Sistema Operacional em uma máquina conectada diretamente à internet pode

13.2. A INTERNET E O PANORAMA ATUAL

Com a disponibilidade de novos serviços e com a maximização de usos de variados dispositivos, as

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

13.3. ACESSO EM BANDA LARGA

• IP fixo pode usar DNS.

• IP dinâmico usando DDNS.

• Exige segurança reforçada.

• Computador pode ser acessado diretamente da internet.

13.3.2. MODEM ROUTER

• Computador não é acessado diretamente a partir da internet.

• Proporciona acesso a uma rede interna (intranet).

• IP fixo pode usar DNS.

• Router deve usar firewall.

• Computador deve usar NAT para disponibilizar serviços.

• IP dinâmico usando DDNS.

13.4. PRINCIPAIS ERROS

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

13.5. AMEAÇAS FREQUENTES

• Hackers, crackers e outros

A grande maioria das contaminações ocorre pela ação do usuário,

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Alguns desses fabricantes e seus sites:

• Vírus de arquivo: Fixa-se em arquivo de programa executável.

• Vírus de macro: Vincula macros a modelos de documento (templates) e outros arquivos.

• Acesso a informações confidenciais por pessoas não autorizadas.

• Perda de desempenho da rede (intranet e internet).

• Desconfiguração do Sistema Operacional; acionamento e desligamento de periféricos da máquina.

• Implantar política de uso de antivírus nas estações de trabalho.

• Manter antivírus sempre atualizado via internet.

• O antivírus deve checar os e-mails on-line que chegam e saem.

• Não abrir arquivo anexado em e-mail com extensão perigosa.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Bons antivírus gratuitos:

• Bit Defender: http://tinyurl.com/zp8xy2l

Assista aos vídeos para saber mais sobre vírus:

• O worm SQL Slammer infectou 75 mil computadores em 10 minutos em 2003.

• O worm Confiker infectou mais de 10 milhões de máquinas em janeiro de 2009.

A prevenção contra os worms é feita da mesma forma que a do vírus, mantendo os

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Assista aos vídeos

13.5.3. CAVALO DE TROIA

Um cavalo de Troia backdoor permite o controle remoto do computador infectado

Rootkits são desenvolvidos para camuflar certos objetos ou atividades no seu

Estes programas conduzem ataques de DoS (Denial of Service, negação de serviço)

Existem muitos outros tipos.

O QUE UM TROJAN PODE FAZER?

• Registrar o que se escreve e enviar essa informação para outro computador.

• Capturar vídeo e áudio de dispositivos ligados ao computador.

• Executar ou encerrar um programa, processo ou conexão no computador.

• Criar janelas pop-up para aborrecer ou conduzir a websites maliciosos.

• Atacar outros computadores.

TROJANS MAIS FAMOSOS: