Ferramentas e Sistemas de Seguran¸ca

Embora as regras b´asicas enunciadas anteriormente sejam uma base importante para a consciencializa¸c˜ao e forma¸c˜ao dos recursos humanos das organiza¸c˜oes, no dom´ınio da seguran¸ca inform´atica, no ˆambito do seu uso individual dos recursos do sistema, estas s˜ao apenas medidas preventivas e n˜ao tˆem qualquer utilidade ap´os um determinado ataque ter sido concretizado com sucesso. De nada vale uma password forte, a partir do momento que o Cracker consegue invadir o sistema. As regras

b´asicas de seguran¸ca s˜ao, assim, apenas a base ou os requisitos m´ınimos de uma pol´ıtica de seguran¸ca. Contudo, a importˆancia da informa¸c˜ao no seio empresarial exige um n´ıvel de seguran¸ca muito mais elevado que n˜ao se reja apenas por medidas preventivas, mas tamb´em por medidas mais rigorosas.

De seguida apresentarei v´arios tipos de ferramentas, orientadas `a seguran¸ca, tendo como base o Top 100 Network Security Tools (http://sectools.org/), que

poder˜ao auxiliar o administrador a identificar vulnerabilidades ou a prevenir amea¸cas que ponham em causa a seguran¸ca do seu sistema.

Antiv´ırus

Os antiv´ırus s˜ao programas, que como o pr´oprio nome indica, s˜ao projectados para detectar, anular e eliminar v´ırus inform´aticos e outros tipos de malware de um computador, em tempo real, oferecendo controlo sobre a ac¸c˜ao dos programas, protec¸c˜ao de ficheiros, e-mails e tr´afego na Internet. Normalmente, vem instalado com o computador, sendo fundamental a sua actualiza¸c˜ao peri´odica, atrav´es do site do seu fornecedor.

Anti-spyware

S˜ao programas utilizados, como o pr´oprio nome indica, para combater spyware, keyloggers, e outros programas espi˜oes, actuando muitas vezes em conjunto com

os antiv´ırus. Existem programas deste modelo, n˜ao t˜ao utilizados e divulgados, como Anti-phishing, Anti-Spam, entre outros.

Firewalls

Segundo Estrela (1998), uma firewall ´e um dispositivo que arbitra o acesso entre redes, permitindo alguns tipos de tr´afego e bloqueando outros, com base nas regras da pol´ıtica de seguran¸ca da organiza¸c˜ao. Essas regras definem essencialmente que endere¸cos, aplica¸c˜oes e utilizadores ser˜ao considerados confi´aveis. Dados e servi¸cos provenientes dessas origens poder˜ao passar o firewall, os restantes ser˜ao bloqueados. A firewall situa-se, normalmente, no ponto onde a rede interna protegida se liga `a Internet. Deste modo, todo o tr´afego proveniente da Internet ou com origem na rede interna passa atrav´es deste, fornecendo a possibilidade de concentrar as medidas de seguran¸ca nesse ponto e aumentar, assim, a seguran¸ca da rede (Estrela, 1998). Por´em, os firewalls n˜ao s˜ao uma solu¸c˜ao de seguran¸ca completa, pois a sua analise de tr´afego ´e baseada nos endere¸cos de origem e destino dos dados e em n´umeros de portas, e n˜ao no seu conte´udo, deixando escapar amea¸cas como o malware. Por outro lado depois do atacante invadir a rede protegida, a firewall nada poder´a fazer.

Sistemas de Autentica¸c˜ao

Segundo Serr˜ao (2009), a autentica¸c˜ao ´e o processo para verificar ou testar se uma determinada identidade ´e ou n˜ao v´alida, requerendo que o utilizador forne¸ca informa¸c˜ao adicional que deve corresponder exactamente `a identidade professada. Segundo Estrela (1998), a autentica¸c˜ao ´e o processo de verifica¸c˜ao de identidade, podendo as solu¸c˜oes de autentica¸c˜ao ser categorizadas como:

• algo que vocˆe sabe - sistema tradicional de autentica¸c˜ao, feito atrav´es da

chave de acesso username/password;

• algo que vocˆe tem - SmartCards de identifica¸c˜ao, tokens, etc;

• algo que vocˆe ´e- ´E o campo das biom´etricas, incluindo as t´ecnicas de leitura

de impress˜oes digitais, leitura de retina, an´alise de voz, etc.

A chave username/password ´e o sistema mais utilizado, contudo n˜ao ´e de todo o mais seguro, sendo at´e um dos menos eficientes, sendo f´acil de manipular e decifrar.

Criptografia

De acordo com Estrela (1998), a criptografia ´e a solu¸c˜ao usual para a necessidade de comunicar sobre liga¸c˜oes inseguras sem exposi¸c˜ao do sistema.

Em Soares (2005) ´e definida como o estudo dos princ´ıpios e t´ecnicas pelas quais a informa¸c˜ao pode ser transformada da sua forma original para outra ileg´ıvel, de forma que possa ser apenas conhecida pelo seu destinat´ario (detentor dachave secreta),

o que torna dif´ıcil ser lida por algu´em n˜ao autorizado. Deste modo, apenas o receptor da mensagem pode ler a informa¸c˜ao com facilidade.

No entanto, este m´etodo de seguran¸ca serve apenas como codificador da informa¸c˜ao propriamente dita, n˜ao realizando nenhuma an´alise a qualquer tipo de malware. Alguns utilit´arios open-source que se fazem valer da criptografia s˜ao:

OpenSSL (http://www.openssl.org/): Esta ferramenta ´e vista como a melhor biblioteca criptogr´afica SSL/TLS (Transport Layer Security/Secure Socket Layer), sendo estes protocolos criptogr´aficos que fornecem seguran¸ca para as comunica¸c˜oes atrav´es de redes como a Internet.

OpenSSH/ SSH (http://www.openssh.com/) ´e, simultaneamente, um programa de computador e um protocolo de rede que permite a conex˜ao com outro computador na rede. Possui as mesmas funcionalidades do Telnet, com a vantagem da conex˜ao entre o cliente e o servidor ser criptografada.

OpenVPN (http://openvpn.net/): Software de rede virtual confi´avel que presta servi¸cos de comunica¸c˜ao segura, n˜ao s´o cumprindo as exigˆencias da tradicional VPN comercial, mas tamb´em respondendo `as demandas da seguinte onda dos servi¸cos Web de VPN.

Truecrypt (http://www.truecrypt.org): ´E um software open-source de encripta¸c˜ao de discos para Windows, Linux e MacOS X. Os utilizadores podem criptografar todo o sistema de ficheiros (nomes de pastas e ficheiros, o conte´udo de cada ficheiro, espa¸co livre, etc), encriptando-o e desencriptando-o quando necess´ario, sem a sua interven¸c˜ao para al´em de inserir, inicialmente a sua password.

Ferramentas B´asicas

Entre tantas ferramentas sofisticadas dispon´ıveis para apoiar a gest˜ao dos mais variados aspectos de seguran¸ca, n˜ao se podem esquecer as denominadasferramentas

b´asicas, pois podem ser bastante ´uteis para resolver, facilmente, alguns problemas.

• Ping: ´E um comando que usa o protocolo ICMP para testar a conectividade entre equipamentos. O seu funcionamento consiste, fundamentalmente, no envio de pacotes ping para o equipamento de destino e na escuta das

respostas provenientes deste. Se o equipamento de destino estiver activo, devolver´a uma resposta (opong, em analogia ao famoso jogo de ping-pong)

ao computador solicitante. Mais em: http://pt.wikipedia.org/wiki/Ping

• Traceroute: Consiste em obter o caminho que um pacote percorre atrav´es de uma rede de computadores at´e chegar ao destinat´ario. O traceroute tamb´em ajuda a detectar onde ocorrem os congestionamentos na rede, j´a que ´e dada no relat´orio, a latˆencia em cada m´aquina interveniente.

Mais em: http://pt.wikipedia.org/wiki/Traceroute

• Whois: ´E um protocolo UDP espec´ıfico para consultar informa¸c˜oes de contacto DNS sobre entidades na Internet, tal como um nome de dom´ınio ou um endere¸co IP. Mais em: http://pt.wikipedia.org/wiki/Whois;

• Telnet: ´E um protocolo cliente-servidor, baseado em TCP, usado para permitir a comunica¸c˜ao entre computadores ligados numa rede. De um modo simplista, ´e um protocolo de acesso remoto a um computador. Antes de existirem os chats, o telnet j´a permitia esse g´enero de fun¸c˜oes. No entanto, este tem vindo a ser substitu´ıdo pelo SSH, onde a informa¸c˜ao ´e criptografada, pois com o telnet todas as comunica¸c˜oes entre o cliente e o servidor podem ser vistas, inclusive as passwords, j´a que s˜ao somente texto simples, permitindo que, com o uso de algumas aplica¸c˜oes, os pacotes que a conex˜ao transporta sejam interceptados. Mais em: http://pt.wikipedia.org/wiki/Telnet;

• Netstat: Identifica e exibe as conex˜oes TCP activas, as portas activas no computador, a tabela de IP routing e as estat´ısticas Ethernet, IPv4 e IPv6.

Vulnerability Scanners

Os Vulnerability Scanners s˜ao software projectado para analisar e avaliar os

sistemas inform´aticos `a procura de vulnerabilidades que estes possam, eventualmente, possuir, pass´ıveis de serem exploradas para a execu¸c˜ao de um ataque.

O Nessus (http://www.nessus.org/) ´e um dos programas mais eficazes desta categoria. ´E composto por uma tecnologia cliente/servidor, em que o cliente mostra ao utilizador, o avan¸co dos testes e o resultado das auditorias realizadas, permitindo que este configure as suas tarefas e consulte os relat´orios resultantes. O servidor, por sua vez, executa os testes programados.

O Nessus verifica redes com o objectivo de encontrar e inventariar vulnerabilidades, corrigir falhas, e realizar auditorias. Inicialmente, verifica todas as portas l´ogicas, sendo capaz de detectar uma vulnerabilidade num servidor Apache escondido na porta 46580. De seguida, liga-se a cada porta activa, simulando invas˜oes de modo a detectar problemas de seguran¸ca, utilizando para o efeito diversos exploits (escritos em NASL - Nessus Attack Scripting Language). ´E capaz de efectuar mais de 1200 verifica¸c˜oes remotas, detectar servidores activos e realizar provas no pr´oprio SO. No final produz relat´orios que inventariam as vulnerabilidades detectadas e os passos que devem ser seguidos para as eliminar.

Outras ferramentas: GFI LANguard Network Security Scanner, SAINT (http:// www.saintcorporation.com/), ou SARA (http://www-arc.com/sara).

Vulnerability Exploitation tools

Este tipo de software tem a fun¸c˜ao detectar vulnerabilidades de sistemas, usando uma enorme quantidade de exploits para executar testes de penetra¸c˜ao, simula¸c˜oes de invas˜ao, tentando de forma activa e exaustiva quebrar a seguran¸ca do sistema. O Metasploit Framework (http://www.metasploit.com/) ´e uma das ferramentas mais usada e eficaz nesta tarefa. Este software ´e uma plataforma open-source avan¸cada, com o prop´osito de desenvolver, testar e utilizar o exploit code para

Password Crackers

OsPassword Crackers tˆem como principal objectivo decifrar passwords.

John the ripper (http://www.openwall.com/john/): ´E um software r´apido, flex´ıvel e eficaz, que tem como principal objectivo detectar e decifrar passwords fracas e recuperar passwords perdidas. Consegue identificar automaticamente qual foi o algoritmo de criptografia utilizado para cifrar as passwords presentes no ficheiro ou programa indicado pelo utilizador. Tamb´em foi desenvolvido um Patch, de nome MPI (www.bindshell.net/tools/jonhtheripper), para que este software possa utilizar v´arios processadores numa mesma m´aquina ou um cluster de m´aquinas para conseguir decifrar senhas mais complexas. Existem tamb´em ficheiros com listas de palavras para possibilitar um ataque por dicion´ario.

Cain& Abel (http://www.oxid.it/cain.html): Tenta decifrar passwords atrav´es da monitoriza¸c˜ao da rede, da pesquisa de passwords cifradas usando ataques por

dicion´ario e/ou ataques por for¸ca bruta, da recupera¸c˜ao de chaves de redes

wireless, da grava¸c˜ao de conversas VoIP, da descodifica¸c˜ao de passwords baralhadas em cache, entre outros.

Aircrack-ng (http://www.aircrack-ng.org/): ´E o decifrador mais r´apido de passwords WEP/WPA dispon´ıvel.

OS Detection tools

Este tipo de software permite identificar o SO presente num dado sistema.

Xprobe2 (http://xprobe.sourceforge.net/): ´e um software activo que permite identificar o SO de uma m´aquina remota, aparecendo como uma alternativa a ferramentas fortemente dependentes do uso do protocolo TCP para a identifica¸c˜ao de SO remotos.

P0f: ´e um software passivo e vers´atil de identifica¸c˜ao de SO, capaz de identificar o SO de um host examinando, simplesmente, os pacotes capturados, mesmo quando o host est´a por tr´as de uma firewall.

Port Scanners

Este tipo de programas tˆem como principal funcionalidade verificar o estado das portas l´ogicas de um sistema computacional, incluindo os servi¸cos ou protocolos que est˜ao a utiliza-las.

Nmap (Network Mapper) (http://nmap.org): ´e um famos´ıssimo e eficaz utilit´ario open-source para explora¸c˜ao de redes e auditoria de seguran¸ca. O Nmap utiliza pacotes IP em estado bruto, de forma inovadora, para determinar quais os hosts dispon´ıveis na rede, que servi¸cos oferecem , qual o SO que est˜ao a executar e dezenas de outras caracter´ısticas. Embora o Nmap seja normalmente utilizado para auditorias de seguran¸ca, muitos administradores de sistemas consideram-no ´

util para tarefas rotineiras tais como o invent´ario da rede, monitoria de hosts e testes de disponibilidade de servi¸co.

Uma informa¸c˜ao chave devolvida por este software ´e a tabela de portasque lista

o n´umero de cada porta verificada, o protocolo e o servi¸co que a est˜ao a utilizar e o seu estado (aberto, filtrado, fechado ou n˜ao filtrado).

Embora o Nmap n˜ao seja umport scanner exclusivo, sendo considerado, at´e, por

muitos autores, um vulnerability scanner, decidi coloca-lo neste grupo, pois a

verifica¸c˜ao de portas e o modo como o faz ´e uma das funcionalidades que faz dele uma das ferramentas mais utilizadas em todo o mundo.

Sabia que:

O Nmap ´e muito utilizado em opera¸c˜oes inform´aticas, simuladas, de filmes de fic¸c˜ao cientifica. O Matrix´e um dos filmes mais famoso onde este software

foi utilizado.

Angry IP Scanner (http://www.angryip.org): ´e uma ferramenta open-source de verifica¸c˜ao do estado das portas e endere¸cos IP.

Scanrand: ´E um servi¸co de rede extraordinariamente r´apido de descoberta de topologias, identifica¸c˜ao de hosts e verifica¸c˜ao do estado das portas l´ogicas.

IDS (Intrusion Detection System)

Os IDS s˜ao produtos que automatizam a inspec¸c˜ao de logs9_{, em tempo real. Em}

termos pr´aticos, detectam tentativas de intrus˜ao no sistema, tendo a capacidade de as terminar ou interromper (bloquear portas, endere¸cos, desactivar a comunica¸c˜ao num determinado segmento), tentando tamb´em identificar a localiza¸c˜ao f´ısica e l´ogica do atacante, alertando os administradores de todas as actividades suspeitas. Al´em disso, trancam ficheiros ou capacidades importantes do sistema, identificam as suas vulnerabilidades, configuram routers e firewalls para evitar a repeti¸c˜ao de ataques conhecidos e avaliam o desempenho global do sistema. Devem ser usados em conjunto com outras ferramentas de seguran¸ca e requerem manuten¸c˜ao.

Snort (http://www.snort.org/): Software open-source de detec¸c˜ao de intrusos, capaz de efectuar an´alises, em tempo real, de tr´afego capturado em redes IP. Permite analisar protocolos, procurar conte´udos e pode ser usado para desactivar diversos ataques, nomeadamente buffer overflows,port scanners furtivos, entre outros.

Netcats

O Netcat (http://netcat.sourceforge.net/) ´e um programa de consultadoria de redes muito conhecido, considerado o canivete su´ı¸co da rede, devido, sobretudo, `a sua versatilidade, podendo ir desde um simples telnet at´e uma ferramenta deataque

por for¸ca bruta. No seu modo de opera¸c˜ao, o Netcat ´e um simples utilit´ario que

lˆe e escreve dados de e para uma rede usando os protocolos TCP e UDP.

A principio foi concebido para ser um telnet aprimorado e at´e hoje ´e isso que ele faz (conectar-se a um host). Por´em tornou-se uma ferramenta poderosa de an´alise de problemas e explora¸c˜ao de redes, uma vez que permite criar praticamente qualquer tipo de liga¸c˜ao que seja necess´aria e possui diversas capacidades interessantes.

9

Log: termo referente ao processo de registo de eventos relevantes num SO. Esse registo ´e ´util para restabelecer o estado original de um sistema e conhecer o seu comportamento no passado.

Security-Oriented OS

S˜ao Sistemas Operativos orientados `a seguran¸ca inform´atica.

OpenBSD (http://www.openbsd.org): ´E um SO proactivamente seguro.

O projecto OpenBSD produziu um SO multi-plataforma, baseado em UNIX . Os esfor¸cos dos seus projectistas enfatizam a portabilidade, padroniza¸c˜ao, correc¸c˜ao, seguran¸ca proactiva e criptografia integrada. Este sistema ´e gratuito.

Backtrack: Distribui¸c˜ao Linux, live CD, com foco em Pen-test. Reune mais de 300 ferramentas para an´alise e teste de vulnerabilidades. E uma das melhores´ distribui¸c˜oes Linux com foco em testes de penetra¸c˜ao. Sem nenhuma instala¸c˜ao, esta plataforma ´e iniciada directamente do CD-ROM ou Pen-Drive, sendo completamente acess´ıvel em minutos.

Outros exemplos de SO, dedicados `a seguran¸ca: Knoppix (http://www.knoppix.org),

Bastille (http://www.bastille-unix.org).

Rootkit Detectors

A fun¸c˜ao principal das ferramentas desta categoria ´e, tal como o pr´oprio nome indica, detectar Rootkits infiltrados nos sistemas computacionais.

Tripwire (http://www.tripwire.com): ´e um verificador de integridade de pastas e ficheiros que ajuda os administradores a monitorizar quaisquer modifica¸c˜oes em conjuntos arbitr´arios de ficheiros. ´E usado regularmente em ficheiros cr´ıticos do sistema. Este software tamb´em notifica os administradores acerca da existˆencia de ficheiros corrompidos para que estes possam iniciar, atempadamente, ac¸c˜oes de controlo de estragos.

RkHunter: Software open-source detector de rootkits para UNIX. Verifica se h´a sinais de software desagrad´avel no sistema, como rootkits e exploits, e executa testes, tal como compara¸c˜oes de hash MD5, procura de nomes de ficheiros usados por rootkits, verifica¸c˜ao de permiss˜oes erradas de ficheiros ou strings suspeitas, e procura de ficheiros ocultos.

Packet Sniffers

Estas ferramentas permitem implementar um m´etodo de espionagem que consiste em interceptar os pacotes de dados transmitidos por outros computadores atrav´es da rede. Em redes Ethernet10_{, por exemplo, os pacotes s˜ao transmitidos para todos}

os computadores da rede, da´ı dizer-se que as redes Ethernet usam uma topologia l´ogica de barramento. Em teoria, somente a placa de rede que tiver o endere¸co MAC correcto poder´a ler os pacotes, sendo estes ignorados pelas restantes. De qualquer forma, todos os outros computadores recebem os pacotes, n˜ao sendo assim t˜ao dif´ıcil burlar este sistema fr´agil, sendo assim poss´ıvel a uma m´aquina ter acesso a todos os dados transmitidos atrav´es da rede.

WireShark (http://www.wireshark.org/) (Antigo Ethereal): ´E uma ferramenta de an´alise de protocolos. Na pr´atica, ´e um analisador de tr´afego de rede e um verificador de falhas de seguran¸ca multi-plataforma que permite a observa¸c˜ao de dados capturados da rede, em tempo real ou previamente capturados, guardados num ficheiro ou disco. Esta ferramenta ´e utilizada, com frequˆencia, para a an´alise e diagn´ostico de problemas em redes de computadores, como pacotes mal formados que estejam a atrapalhar o tr´afego da rede.

O WireShark ´e capaz de capturar pacotes de diferentes tecnologias de rede, como Ethernet, FDDI, TOken-Ring, IEEE 802.11, entre outras.

Ettercap (http://ettercap.sourceforge.net/): ´E uma ferramenta open-source utilizada para inspec¸c˜ao, intercep¸c˜ao e registo de tr´afego em redes Ethernet. ´E capaz de identificar e analisar, de forma passiva ou activa, in´umeros protocolos, inclusive os que s˜ao criptografados em SSH ou HTTPS. ´E ainda capaz de injectar dados em liga¸c˜oes estabelecidas e filtrar dados das mesmas, em tempo real, sem as dessincronizar.

10

Traffic Monitoring tools

Este tipo de software tem como principal finalidade monitorizar o tr´afego da rede ou estabelecer um sistema de alarm´ıstica.

Nagios (http://www.nagios.org): ´E um sistema open-source de monitoria de redes que verifica hosts e servi¸cos que o utilizador especificar, alertando-o quando as coisas est˜ao a correr mal e quando melhoram. Os seus recursos incluem monitoria de servi¸cos de rede (SMTP, POP3, HTTP, etc), monitoria de recursos de host (carga do processador, uso do disco, etc), e notifica¸c˜oes de contacto quando problemas ocorrerem e quando ficarem resolvidos (via e-mail, pager, ou m´etodo definido pelo utilizador). Este sistema de vigilˆancia poderoso permite `as organiza¸c˜oes identificar e resolver problemas antes que estes afectem os processos cr´ıticos de neg´ocios. Outras ferramentas: Zabbix (www.zabbix.com); OpenNMS (www.opennms.org).

HoneyPots

Os HoneyPots, numa perspectiva simplista, s˜ao armadilhas para atrair, detectar, desviar, ou de alguma forma contrariar as tentativas de uso n˜ao autorizado de SI. Geralmente s˜ao compostos por um computador, dados ou uma rede local que parecem leg´ıtimos e fazer parte de uma determinada rede, mas que na realidade s˜ao isolados, 100% falsos, protegidos e monitorizados, dando a ideia de conterem informa¸c˜oes ou recursos de grande valor para os atacantes, apresentando-se como sistemas vulner´aveis, vulgares, e apetec´ıveis para estes. Al´em de desviarem as aten¸c˜oes dos sistemasreaisem produ¸c˜ao, podem garantir a captura de informa¸c˜ao

da actividade dos invasores, podendo permitir a sua identifica¸c˜ao e o conhecimento das suas t´ecnicas, actividades e inten¸c˜oes.

Sabia que:

Foi atrav´es de um HoneyPot que o famoso especialista em seguran¸ca Tsutomu Shimomura conseguiu capturar o famosoCrackerKevin Mitnick, atraindo-o