antebellum sec 110 - tecnologia para proteção de dados críticos
DESCRIPTION
Nesta amostra de 50 páginas, demonstramos os objetivos do curso SEC 110 - Tenologias pra proteção de dados críticos, e como os temas são abordados. O Curso destina-se à proteção de dados como números de cartão de crédito (abordando todos os requisitos técnicos do PCI DSS), dados de clientes, dados de saúde, etc.TRANSCRIPT
Material do Aluno
Versão 1.0
PDF Gerado em baixa resolução
para demonstração do material
2
Este material foi impresso pela Ekofootprint, utilizan-
do papel reciclado e tecnologia de cera (Solid Ink) da
Xerox, que reduz o impacto ambiental das impressões
em 90%, se comparado à tecnologia Laser.
Tecnologias para proteção de dados críticos
978-85-66649-00-0
Autor: Fernando Fonseca
Direitos autorais garantidos para:
Antebellum Capacitação Profissional
Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re-
produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô-
nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia
por escrito da Antebellum Capacitação Profissional ®
320 Páginas - Editora Antebellum
www.antebellum.com.br
Responsabilidade Social
3
4
5
Sumário
Conhecendo a Evolveris................................................... 6
1 - O Papel do CSO................................................................. 16
2 - Controles Físicos.............................................................. 32
3 - Controles Tecnológicos.................................................... 58
4 - Controles Organizacionais............................................... 62
5 - Criptografia de Dados....................................................... 66
6 - .Criptografia Assimétrica.................................................. 76
7 - Criptografia Aplicada........................................................ 90
8 - Controle de Acesso........................................................... 96
9 - Reference Monitor........................................................... 110
10 - Autenticação.................................................................... 122
11 - Gestão de Identidades..................................................... 130
12 - Zonas e Domínios de Confiança....................................... 138
13 - Monitoramento................................................................ 157
14 - Segurança em Software................................................... 163
15 - Atualização....................................................................... 181
16 - Programas Antimalware.................................................. 193
17 - Legislação Conformidade................................................ 220
18 - Avalição............................................................................ 231
6
A Evolveris (do Latim, que significa “Que está evoluindo”) é uma empresa
líder em educação de básica, média e universitária, além de oferecer dezenas
de cursos de extensão e capacitação profissional.
A Empresa foi fundada na década de 1970, por um grupo de professores com
uma proposta de atender à demanda de formação profissional que o Brasil se
encontrava, e começou oferecendo cursos de aperfeiçoamento profissional e
cursos técnicos em eletrônica, eletrotécnica e mecânica. Com o passar do
tempo e o sucesso do empreendimento o grupo aumentou a gama de cursos,
e por fim passou a oferecer cursos de graduação, pós-graduação e MBA, já
atuando em diversos estados brasileiros.
7
Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo inter-
nacional, proprietário de diversas universidades e centros de treinamento
em todo o mundo. Desde então, e empresa tem realizando grandes esforços,
em todos os sentidos, para se adaptar ao nível de exigência das regulamen-
tações americanas e europeias, assim como atender aos anseios da governan-
ça corporativa da empresa.
8
A Evolveris é uma organização de ensino e venda de conteúdo. A empresa
possui centenas de produtos, que vão desde MBA’s até livros e cursos online
gratuitos. Dentre os dados que a empresa armazena estão:
Cadastro pessoal - A instituição mantém um cadastro de alunos e co-
laboradores, com dados pessoais de todos, e
Dados de cartão de crédito - Dados relacionado ao pagamento de ma-
trícula, material didático e cursos de extensão.
Livros texto em formato eletrônico - Propriedade intelectual da Evol-
veris. Engloba todo o material, para todos os tipos de curso
9
Dados acadêmicos - Informações sobre a vida acadêmica dos estudan-
tes de cursos regulares, que envolvem seu período na Evolveris e em
instituições anteriores. Informações sobre as notas e frequeência dos
estudantes de todos os tipos de curso no período de estudo atual, que
podem ser acessadas pelos alunos e modificadas pelos professores.
10
Hilda Pfeiffer foi indicada pelo conselho de acionistas como a nova presiden-
te do grupo Evolveris. Uma das principais metas de sua gestão é trazer
transparência para a área de governança e criar mecanismos para garantir o
controle do risco relacionado à não conformidade e vazamento de dados
confidenciais.
Hilda trabalhou em diversas empresas internacionais, muitas delas com for-
tes requisitos de proteção a dados críticos e valiosos ativos de propriedade
intelectual.
Durante sua gestão, Hilda aprenderá sobre os sistemas gestão da Evolveris e
sobre os controles aplicados na empresa. Ela deve avaliar, e sempre que pos-
sível otimizar os resultados das ações para reduzir riscos, responder a inci-
dentes e limitar a exposição legal da organização.
11
Dentre os pontos a serem otimizados, encontramos a segurança física, finan-
ceira e de pessoal, além da estratégia de continuidade de negócios da Evolve-
ris.
12
Na hierarquia da Evolveris, encontramos as seguintes personagens:
Allan Garcia - Chief Security Officer (CSO) - Responsável pela segu-
rança corporativa
Wallace Greco - Chief Information Security Officer (CISO) - Respon-
sável pela segurança da informação
Willian Souza - Chief Information Officer (CIO) - Responsável pela
TI
Olivia Nakamura - Legal and Corporate Affairs - Responsável pela
proteção da propriedade intelectual da empresa , além do aconselha-
mento em questões legais, regulatórias e éticas.
13
Daniel Oliva - Chief Financial Officer (CFO) - responsável pela gestão
financeira da Evolveris, além de fazer parte do comitê de segurança da
informação, é responsável por aprovar orçamentos e solicitações de
despesas de TI e Segurança.
Alex Tesla - Responsável pela infraestrutura de comunicação da Evol-
veris. Alex é conhecido pelos milagres que opera em situações críticas,
mantendo a estrutura da rede operando.
Gabriel Nunes - Também conhecido como Lenda, é o responsável pela
desenvolvimento dos sistemas e gestão de todos os bancos de dados da
Evolveris, assim como pela segurança dos dados neles hospedados.
Samuel Lopes - Responsável pela estrutura de servidores da Evolveris,,
Samuel é um entusiasta por segurança e criptografia, assim como sis-
temas operacionais. Samuel é o responsável pela segurança dos dados
hospedados hospedados nos hosts da Evolveris.
14
Um dos pontos principais para Hilda, e entender a estrutura da Evolveris
quando a empresa foi adquirida e a iniciativa de segurança começou, o está-
gio atual de maturidade da empresa, e o nível de maturidade necessário para
atender os anseios da governança.
15
Hilda solicitou que Willian identificasse todos os tipo de dados que a Evol-
veris processa e armazena, Olívia por sua vez identificou as leis, normas e
regulamentações relacionadas a esses tipos de dados. Algumas se destaca-
ram:
Código de Defesa do Consumidor
ABNT ISO/IEC 27001 e 27002
PCI DSS
16
17
Hilda então procura Allan, responsável pela segurança corporativa, e Allan
prontifica-se a apresentar-lhe os controles da Evolveris relacionados às
normas levantadas, e indica Wallace para apresentar-lhe dados sobre a se-
gurança da informação
18
A Evolveris denomina de CSO a pessoa responsável pela segurança de TI,
no caso Wallace, com a incorporação da organização pela Antebellum, o
cargo de CSO - Chief Securty Officer, foi atribuído a Allan, que passou a
responder estrategicamente no que se refere a estabelecer e manter um pro-
grama de segurança corporativa.
Como CSO, Allan é responsável por identificar, desenvolver, implementar e
manter processos de segurança em toda a organização, visando reduzir ris-
cos, responder a incidentes e limitar a exposição legal, através da manuten-
ção da segurança física, financeira e de pessoal, além da estratégia de conti-
nuidade de negócios da Evolveris.
19
A posição de CISO – Chief Information Security Officer é relativamente
novo a maioria organização, o CISO deve fornecer a visão e aconselhamento
tático do ponto de vista da Segurança da Informação e deve examinar as
novas tecnologias e suas ramificações de forma a agregar valor no produto
final.
Antes da incorporação da Evolveris pela Antebellum Corp, Wallace era vis-
to como um gerente dos recursos de segurança ( Firewalls, IDS, Sistemas de
Resposta a Incidentes, etc), e não como um gestor de riscos.
20
A função da segurança da informação é proteger as informações e os siste-
mas que as suportam contra acesso indevido, mal uso, vazamento, modifi-
cação ou destruição.
Como grande parte da doutrina acadêmica relacionada à Segurança da In-
formação foi desenvolvida dentro dos meios militares, muitas pessoas têm
uma tendência a ver a segurança pela perspectiva do ativo e do maior nível
de proteção que ele pode possuir,. Essa ótica não é adequada nas organiza-
ções, onde o nível de proteção deve ser proporcional ao valor do ativo, ou
ao dano causado pelo incidente. A segurança da informação deve mirar os
objetivos de negócio da empresa, o que pode levar os analistas a fazerem
concessões a favor da eficiência do processo, em detrimento do nível de
segurança.
21
A segurança próxima de 100% é uma meta normalmente buscada dentro do
meio militar, onde falhas podem custar vidas, ativo de valor imensurável.
Na Evolveris, a disponibilidade de dados é uma premissa de negócio, definida
pela governança da empresa. Alunos e professores precisam poder acessar e
modificar os dados do sistema em qualquer lugar que estejam, e os candida-
tos ou estudantes de e-learning precisam fazer todos os seus procedimentos
através do website da empresa.
Dentro deste contexto, procurou-se o melhor nível de segurança, que fosse
economicamente viável, e que não ferisse essas premissas. Durante os próxi-
mos capítulos apresentaremos as soluções encontradas.
22
Ao explicar as tarefas relacionadas à manutenção da segurança da informa-
ção dentro da Evolveris, Wallace as divide em 3 grupos:
Processos: Definidos na política de segurança, são fundamentais
para a manutenção da segurança do ambiente, pois eles definem o
comportamento esperado dos colaboradores em relação à segurança
da informação, e as tecnologias a serem utilizadas para assegurar a
segurança da informação na organização.
Pessoas: Todos os colaboradores da organização, sejam eles funcio-
nários, terceiros ou prestadores de serviço, necessitam de orientação
para que possam desempenhar suas obrigações quanto à segurança
da informação da melhor forma possível.
23
Tecnologia: Apesar de ser o componente mais visível na manutenção
da segurança, não chega a ser o que mais requer esforço e investimen-
to. As ferramentas são essenciais para garantia a segurança da informa-
ção e monitorar o seu uso.
24
Continuando sua explicação, Wallace toma como exemplo um sistema de
ERP da Evolveris. Analisando as proteções de dentro para fora, podemos
encontrar os dados sensíveis criptografados dentro da aplicação. Outra apli-
cação que faz parte deste contexto é o banco de dados que guarda os dados
do ERP.
Essas aplicações são gerenciadas pelo sistema operacional do host (que tam-
bém pode gerenciar dados diretamente), e o Host (máquina hospedeira) por
sua vez, encontra-se na rede interna de uma empresa, que tem seu períme-
tro lógico defendido por Firewall, IDS e IPS) e físico defendido pelo contro-
le de acesso físico, com travas, fechaduras, guardas, etc.
25
Todas essas proteções dependem diretamente de processos bem definidos,
da execução de políticas bem elaboradas e de pessoas preparadas e compro-
metidas para segui-las corretamente.
Defesa em profundidade significa prover múltiplas camadas de proteção
contra ameaças em diversas partes da organização. Deve-se aplicar a segu-
rança no maior número de camadas possíveis.
26
Os controles de segurança da informação devem ter uma origem bem justifi-
cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência.
Para definir os controles da Evolveris, a equipe de segurança solicitou a Olí-
via, do LCA (Legal and Corporate Affairs), que levantasse as leis e regula-
mentações vigentes. As organizações precisam atender às regulamentações
da área em que estão inseridas, e para isso precisam ter em sua política de
segurança controles que enderecem esses requisitos.
Alguns dos requisitos relacionados na construção da política de segurança
da informação vieram do padrão de dados de cartão de crédito (PCI DSS),
integridade de relatórios financeiros (Sarbanes-Oxley) e segurança da infor-
mação (ISO 27001 e ISO 27002.
27
Outra grande origem de controles são os requisitos de negócio. Se uma orga-
nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga-
rantia a confidencialidade de seus projetos para sobreviver no mercado.
Por outro lado, se tratamos de uma organização que trabalha com venda de
informações, precisa garantir a integridade e confidencialidade das mesmas.
A Terceira e mais importante origem de controles é a análise de riscos. Não
que os itens anteriores não precisem passar por uma análise de risco, mas a
análise em questão é uma análise feita a partir da própria ISO 27002, para
verificar o “Gap” entre a situação ideal e a situação atual da empresa.
Os controles gerados são de três tipos: Físicos, organizacionais e Tecnológi-
cos, sendo que:
Controles Físicos: roletas, catracas, portas, crachás e qualquer outra coisa
que auxilie no controle de acesso físico aos ativos ou ajude a preservar a
integridade física destes, como o sistema de refrigeração, estabilizadores e
nobreaks.
Controles Organizacionais: Termos de aceitação da política de segurança,
treinamentos, e todo tipo de ação que discipline a forma de uso dos ativos
de informação.
Controles Tecnológicos: Firewall, IPS, IDS, antivírus e qualquer outra
peça de hardware ou software que auxilie na preservação dos ativos.
28
29
Segundo a ISO 27002, os controles físicos previnem o acesso físico não
autorizado, danos e interferências com as instalações e informações da
organização.
A Norma especifica dois importantes pontos a serem tratados:
Perímetro de segurança física: utilizar perímetros de segurança
(paredes, portões de entrada com cartões, etc) para proteger as
áreas processamento e armazenagem de informações
Controles de entrada física: visam assegurar que somente pesso-
as autorizadas tenham acesso a um local.
30
Allan explica a Hilda que a Evolveris utiliza um sistema de controle de aces-
so físico, e que os todos receberam crachás com RFID nas cores vermelho
(alunos), verde (funcionários) e azul (terceiros) para acesso ao ambiente.
Sempre que um colaborador precisa de um novo crachá, ele deve trazer o
crachá anterior para ser avaliado, e no caso de perda do crachá ele deverá
solicitar ao gestor do seu centro de custo um novo crachá, cujo valor será
debitado de sua área. Em ambos os casos o funcionário recebe uma cartilha e
assina um termo de recebimento e responsabilidade sobre o crachá, reconhe-
cendo sua função como instrumento de acesso às instalações da empresa.
O Sistema de segurança da Evolveris divide a empresa em áreas, e cada área
possui um responsável, geralmente o gerente ou diretor da divisão.
31
O Sistema possui perfis de acesso pré-autorizados, dessa forma, a cada vez
que um novo colaborador entra em determinada função ele recebe os aces-
sos previstos em seu perfil. A Cada vez que é necessário conceder um novo
acesso a um determinado colaborador, este entra no sistema e solicita o
acesso. O sistema emite um e-mail ao gestor do colaborador que aprova ou
não sua solicitação, e uma vez aprovada essa solicitação vai para a aprova-
ção do gestor da área, que dá a palavra final sobre o acesso. Após essa apro-
vação o crachá já é aceito na área solicitada, sem nenhuma necessidade de
intervenção da área de segurança.
Um relatório diário de acessos concedidos é enviado à área de segurança
patrimonial. Pesquisas por número de concessões e solicitações também
podem ser executadas, além do sistema fornecer alertas quando esses nú-
meros ultrapassam um determinado parâmetro.
Quando um colaborador encerra suas atividades na Evolveris, o crachá é
bloqueado e ele deve ser devolvido pelo mesmo. Ao ser transferido, um cola-
borador perde todas suas permissões, e recebe as permições de acordo com
o perfil de sua nova função. Qualquer acesso adicional tem que ser solicita-
do ao seu gestor, conforme explicado anteriormente.
O Acesso ao sistema de emissão de crachás é restrito a um pequeno grupo, e
requer o uso de um crachá nível 2, que possui um chip RSA, para autentica-
ção do mesmo.
Palestras de conscientização sobre o valor do crachá são ministradas regu-
larmente.
32
Na Evolveris, os visitantes são claramente identificados por um crachá ama-
relo, em oposição aos vermelhos (alunos), verdes (funcionários) e azuis
(terceiros). Estes crachás são somente para identificação, e apesar de regis-
trar a passagem do visitante pelas instalações da empresa não permitem seu
acesso a nenhum local, somente a sua saída.
Os visitante somente entram na empresa acompanhados por um colaborador,
e nas áreas menos sensíveis. Nas áreas com pontos de rede ativos e/ou outros
ativos de informação, eles devem permanecer sempre acompanhados.
Os crachás de visitante possuem uma validade definida no ato de sua emis-
são, o que nunca ultrapassa um dia. A devolução do crachá é obrigatória na
última catraca de saída da empresa.
33
Ao passar por um ponto de entrada, o visitante precisa apresentar seu cra-
chá para registro via RFID, apesar deste registro não abrir nenhuma porta
para entrada do mesmo.
O registro criado contém o nome do visitante, a empresa representada e o
funcionário que está autorizando o acesso físico. Pela regulamentação do
PCI DSS, este registro deveria ser mantido por pelo menos três meses, mas a
deliberação da Evolveris é a de mantê-lo por 5 anos.
34
As áreas comuns das instalações da Evolveris (salas de aula, sala de professo-
res, bibliotecas, etc.) possuem pontos de acesso com e sem fio (wireless) e
são segregados fisicamente por switches e um firewall. Na política da Evolve-
ris, todos os pontos de rede localizados fora do perímetro de segurança física
são ligados na rede pública (de alunos).
As áreas da rede administrativa da Evolveris possuem portas com fechaduras
eletrônicas e o datacenter é hospedado em uma nuvem privada dentro de
uma sala cofre na sua matriz, em Belo Horizonte. Os professores somente
tem acesso aos sistemas quando nas salas de professores, que possuem um
controle de acesso físico adequado.
35
Cada unidade de Evolveris possui uma pequena sala de servidores, com
acesso biométrico, restrito a poucos técnicos, somente com os servidores de
autenticação e outras redundâncias para garantir a continuidade em caso de
perda de comunicação com a matriz.
Os leitores biométricos e de crachás são ligados à rede administrativa e
transmitem seus logos a um centralizador localizado na matriz
36
Toda a entrada e saída de pessoas nas áreas sensíveis é monitorada por câ-
meras IP, que armazenam localmente as imagens. por um período de 3 me-
ses, e transmitem imagens estáticas à sede, para evitar um excesso de uso de
banda e armazenamento.
As câmeras são protegidas fisicamente contra adulteração ou desati-
vação
Os dados locais são armazenados por 3 meses
A sede armazena as imagens estáticas por 2 anos
37
Verifique se o acesso físico a pontos sem fio de acesso, gateways, dispositi-
vos portáteis, hardwares de comunicação/rede e linhas de telecomunicação
é adequadamente restrito.
Os pontos de rede:
Devem ser ativados somente quando necessário e pelos funcionários
autorizados
Devem estar protegidos contra adulteração ou desativação
Visitantes Devem sempre ser acompanhados nas áreas com pontos de
rede ativos
38
Allan explica a Hilda que apesar de toda a preocupação com a segregação
física das áreas administrativas, ainda existe um risco residual de acesso não
autorizado e a ameaça interna.
Para conter essa ameaça, a Evolveris aposta em um programa de conscienti-
zação para criar o hábito em todos os colaboradores de bloquear suas esta-
ções, quando estas estiverem desassistidas.
Os administradores , em especial, são orientados a nunca deixarem As con-
soles de servidores e estações desbloqueadas, para impedir o uso não autori-
zado dos privilégios administrativos.
39
A equipe de TI implementou uma política de bloqueio automático para as
estações após 5 minutos sem uso. Para servidores o bloqueio ocorre a cada 2
minutos, e as sessões iniciadas em sistemas que manipulam dados críticos
se esgotam por ociosidade em no máximo 15 minutos.
A Auditoria interna trabalha fortemente esse ponto, testando os colabora-
dores quanto a este quesito da política de segurança
40
A Evolveris adota uma política de mesa e tela limpa, evitando que papeis e
mídias removíveis fiquem acessíveis a terceiros, obedecendo a política de
classificação da informação e requisitos legais.
Todos os colaboradores devem evitar que papeis e mídias removíveis fiquem
expostos, adotando regras proporcionais à classificação da informação. Den-
tre as ações indicadas encontramos:
Colaboradores devem retirar seus papeis imediatamente das impres-
soras
Controle de uso de copiadoras
Correios e fax devem ser protegidos
41
A Evolveris possui uma solução de no-break, ou fornecedor ininterrupto de
energia (UPS- Uninterruptible Power Supply), que garante a continuidade
da alimentação elétrica mesmo que a energia principal venha a falhar.
O tempo suportado pelo equipamento varia de acordo com a carga suporta-
da por suas baterias. Normalmente o nobreak suporta o ambiente por alguns
minutos ou algumas horas, depois desse tempo é necessário que seja utiliza-
do um gerador externo para recarregar suas baterias.
Allan destacou que dentre os projetos para o próximo exercício fiscal, en-
contra-se a compra de um gerador para o Datacenter, projeto que não foi
aprovado no ano anterior, e solicitou a atenção de Hilda para este assunto.
42
A ISO 27002 destaca em suas diretrizes para implementação que convém que
todas as utilidades, tais como suprimento de energia elétrica, suprimento de
água, esgotos, calefação/ventilação e ar condicionado sejam adequados para
os sistemas que eles suportam.
A norma recomenda também que estes sejam sempre inspecionados em in-
tervalos regulares e testados de maneira apropriada para assegurar seu funci-
onamento correto e reduzir os riscos de defeitos ou interrupções do funcio-
namento, garantindo também um suprimento adequado de energia elétrica,
de acordo com as especificações do fabricante dos equipamentos.
Recomenda-se o uso de UPS (No-break) para suportar as paradas e desliga-
mento dos equipamentos ou para manter o funcionamento contínuo dos
equipamentos que suportam operações críticas dos negócios.
Convém que seja considerado um gerador de emergência, e um suprimento
de combustível adequado, caso seja necessário que o processamento continue
mesmo se houver uma interrupção prolongada do suprimento de energia.
A norma também aconselha que a capacidade dos geradores e nobreaks se-
jam verificados em intervalos regulares para assegurar que eles tenham capa-
cidade adequada, e sejam testados de acordo com as recomendações do fabri-
cante. Além disto, deve ser considerado o uso de múltiplas fontes de energia
ou de uma subestação de força separada, se o local for grande o suficiente.
43
A Norma ainda traz as seguintes recomendações:
Convém que as chaves de emergência para desligamento da energia
fiquem localizadas na proximidade das saídas de emergência das salas
de equipamentos para facilitar o desligamento rápido da energia em
caso de uma emergência.
Convém que seja providenciada iluminação de emergência para o caso
de queda da energia.
Convém que os equipamentos de telecomunicações sejam conectados
à rede pública de energia elétrica através de pelo menos duas linhas
separadas, para evitar que a falha de uma das conexões interrompa os
serviços de voz.
Destaca ainda a norma em informações adicionais que, as opções para assegu-
rar a continuidade do suprimento de energia incluem linhas de entrada re-
dundantes, para evitar que uma falha em um único ponto comprometa o su-
primento de energia.
Mesmo com todos estes cuidados, é recomendável que hajam planos de con-
tingência de energia referentes às providências a serem tomadas em caso de
falha do UPS e/ou gerador.
44
A climatização é tão essencial quanto a energia elétrica para um datacenter.
Ela garante que os equipamentos tenham um ambiente propício para seu
funcionamento, livre de aquecimento e umidade em excesso.
Existem inúmeros relatos de indisponibilidade e até mesmo perda de dados
devido a superaquecimento. Os computadores dispersam muito calor, e sem
um tratamento adequado o ambiente rapidamente chaga a uma temperatura
onde há perda de integridade física (e consequentemente lógica) e/ou os
próprios equipamentos deixam de funcionar para evitarem danos a si mes-
mos.
No clima tropical da América do Sul, uma climatização redundante é tão
essencial como um nobreak para a disponibilidade dos dados.
45
Os meios de transmissão, com ou sem fio, estão sujeitos a interferências, que
podem comprometer a integridade e disponibilidade dos recursos de comu-
nicação da empresa, ou ainda a confidencialidade caso sofram um ataque com
o objetivo de roubar dados.
A ISO 27002 atenta para os seguintes fatos:
Segurança do Cabeamento, que se aplica ao cabeamento de energia e
de telecomunicações:
As linhas de energia e de telecomunicações que entram nas instalações
de processamento da
informação sejam subterrâneas (ou fiquem abaixo do piso), sempre
que possível, ou recebam uma proteção alternativa adequada;
46
Cabeamento de redes seja protegido contra interceptação não autori-
zada ou danos, por exemplo, pelo uso de conduítes ou evitando traje-
tos que passem por áreas públicas;
Os cabos de energia sejam segregados dos cabos de comunicações,
para evitar interferências;
Nos cabos e nos equipamentos, sejam utilizadas marcações clara-
mente identificáveis, a fim de minimizar erros de manuseio, como
por exemplo, fazer de forma acidental conexões erradas em cabos da
rede;
Seja utilizada uma lista de documentação das conexões para reduzir
a possibilidade de erros;
47
48
49
Wallace promete a Hilda uma apresentação sobre o grau de maturida-
de da Evolveris se comparado à norma ISO 27001 e ao padrão PCI
DSS.
O CISO da empresa aproveita para alertar a Hilda sobre a necessidade
de investimentos para se estabelecer e manter um Sistema de Gestão
da Segurança da Informação.
50
A política de segurança da Evolveris prevê a destruição de dados ao final da
vida útil dos mesmos, e abrange todas as mídias, inclusive os materiais im-
pressos, que devem ser picotados, triturados, incinerados ou amassados pa-
ra que haja garantia razoável de que não possam ser reconstituídos.
Os contêineres de armazenamento usados para as informações a serem des-
truídas devem ter controles de segurança física aplicados, para que seu con-
teúdo não seja acessado.
A política prevê que os dados de alta sensibilidade existentes nas mídias
eletrônicas tornem-se irrecuperáveis por meio de um programa de limpeza
segura (wipe), de acordo com os padrões, que consistem em sobrescrever
todo o disco por uma ou mais vezes, ou padrões mais “fortes” chegam a so-
brescrever os discos dezenas de vezes, com sequências aleatórias de dados.
51
Para as mídias com maior requisito de disponibilidade e integridade, uma
remoção mais simples dos dados pode ser o suficiente para atender os requi-
sitos de segurança.
Para mídias que possuem um maior requisito de confidencialidade pode ser
necessário lançar mão das técnicas de desmagnetização ou destruição física
da mídia.
52
A Criptografia é uma ciência milenar, responsável por manter os segredos
da antiga Roma, peça fundamental na Segunda Guerra Mundial e atual-
mente é estrela do mundo da Segurança da Informação.
Diversos sistemas operacionais, bancos de dados, protocolos de comunica-
ção ou simples sistemas de armazenamento de arquivos chegam aos consu-
midores providos desta função de embaralhar os dados. Através do uso de
um algoritmo (sequência de passos para o embaralhamento) os dados a se-
rem protegidos e de uma chave (conjunto de bits) transforma-se textos ou
dados abertos em códigos ilegíveis.
A chave existe para se misturar ao texto e embaralha-lo (encriptá-lo) e pos-
teriormente, ser misturada ao texto criptografado e recuperá-lo (decriptar).
Isso é Criptografia no mundo computacional, e isso era Criptografia há mil
anos. Porém, se hoje temos computadores para criptografar dados e proces-
sar informações que antes eram impossíveis. Os mesmos computadores são
usados para quebrar algoritmos e descobrir a chave que foi usada
(criptoanálise). Uma chave com poucos caracteres é fácil de ser adivinhada.
Podem-se tentar algumas possibilidades até que se consiga chegar na chave
certa.
A criptografia é um componentes vital da proteção de dados críticos, e para
garantir que todos os dados recebam o tratamento devido, a Evolveris man-
tém um inventário de todas os locais onde os dados críticos estão armazena-
dos, e uma forte política de criptografia de dados em diversos dispositivos,
principalmente em mídias removível (por exemplo, fitas de back-up)
53
A política prevê também uma separação dos hashes de dados da versão trun-
cada dos mesmos, e quando isso não é possível a utilização de controles adi-
cionais para garantir que as duas versões dos dados não possam ser utiliza-
das para reconstruí-los.
Wallace preparou uma apresentação, para explicar os diferentes tios de crip-
tografia utilizados para embaralhar os dados nos sistemas, bancos de dados e
canais de comunicação da Evolveris.
A Criptografia simétrica é a mais antiga das formas de criptografia. Também
conhecida como criptografia de chave compartilhada ou de chave secreta,
possui dois elementos fundamentais: um algoritmo e uma chave que deve ser
compartilhada entre os participantes na comunicação, daí o nome de simétri-
ca ou de chave compartilhada. Na criptografia simétrica, a mesma chave é
usada para codificar e decodificar as mensagens.
O Conhecimento do algoritmo a empregado não interfere na segurança do
sistema, uma vez que esta segurança vem do algoritmo em si, mas principal-
mente do sigilo da chave utilizada.
Para que um algoritmo possa ser considerado seguro, a única forma de se ob-
ter o texto original a partir do texto cifrado, sem o conhecimento prévio da
54
chave, é tentar todas as combinações de chaves possíveis, o que chamamos de
ataque de força bruta.
Assim, os fatores envolvidos na quebra de um algoritmo de chave simétrica
seguro são, basicamente, tempo e recursos, que estão diretamente ligados:
quanto maior o capital empregado em equipamentos para a quebra da cripto-
grafia, menor o tempo necessário.
A Evolveris mantém um processo de homologação de sistemas, que analisa o
tipo de sistema criptográfico utilizado, ao algoritmos utilizados e a forma
como foram configurados, além de uma detalhada documentação sobre os
sistemas que inclui:
Fornecedor do sistema
Tipo de sistema
Algoritmos utilizados
Configuração dos algoritmos
55
Métodos para minimizar os riscos, podemos truncar alguns dados críticos,
quando o armazenamento completo não for necessário (Ex: número de car-
tão de crédito)
A Truncagem de um número difere-se do hash, por eliminar permanente-
mente parte do conteúdo, e impossibilitar que se compare uma truncagem a
outra para verificar se o número original é o mesmo
O Hash não pode ser utilizado para substituir a truncagem de um dado
56
Funções de hash baseados em criptografia forte podem ser utilizados para
proteger dados críticos, como o número de cartões de crédito, desde que se-
jam aplicadas ao numero como um todo.
As funções hash, tomam como entrada uma mensagem qualquer e geram
como saída o que chamamos de “mensagem digerida” (message digest), em
um tamanho fixo de bits (128, 160, 256, etc). Essas funções não são desenha-
dos para que os dados possam ser decriptados, e são utilizados simplesmen-
te para verificar se um determinado dado é válido.
Os algoritmos de Hash mais comumente utilizados são Message Digest 5
(MD5) e Secure Hash Standard (SHA-1).
57
58
59
O Conceito de chaves assimétricas nasceu oficialmente com os trabalhos de
Whitfield Diffie e Martin Hellman, no início da década de 1970. A proposta
era a de criar operações criptográficas que dependessem de duas chaves ma-
tematicamente relacionadas: uma pública e outra privada. Este sistema, tam-
bém chamado de criptografia de chave pública, veio a resolver dois dos gran-
des problemas existentes com as cifras simétricas: troca segura de chaves e
escalabilidade.
Samuel, o especialista de infraestrutura da Evolveris é um entusiasta em
criptografia. Ele é o responsável pela implantação da ICP (Infraestrutura de
Chaves Públicas) da Evolveris, e a única foto em sua baia é a de sua conversa
com Whitfield Diffie na Defcon.
60
Na criptografia assimétrica uma chave é capaz de abrir o que a outra chave
criptografou, mas nunca o que ela mesmo criptografou. Utilizamos a cripto-
grafia com chave pública para garantir confidencialidade, e com chave priva-
da para garantir autenticidade, que é um dos componentes da integridade.
No exemplo acima, Samuel precisa enviar uma mensagem confidencial para
Hilda. Para que isso seja possível, ele solicita a chave pública de Hilda, crip-
tografa a mensagem com ela, e a envia tranquilamente por um meio inseguro.
Como vimos, uma chave não abre o que ela mesmo criptografou. Se alguém
interceptou a comunicação de Samuel e Hilda, ele interceptou a chave públi-
ca, mas ela é inútil para abrir o conteúdo. Somente a chave privada abrirá o
conteúdo criptografado com a chave pública, e vice-versa.
61
No exemplo acima a operação se repete, mas dessa vez Allan utiliza uma
chave privada para criptografar o hash, antes de anexá-lo ao texto e enviá-lo
a Olívia.
Olívia adquire a chave pública de Allan na ICP da Evolveris e abre a mensa-
gem criptografada pela chave privada. O sucesso da operação indica que o
hash enviado foi criptografado pela chave pública de Allan, mas ainda não
atesta a integridade do texto.
Ao comparar o hash extraído com a chave pública de Allan com o hash ane-
xado ao texto Olívia certifica-se que o texto está íntegro.
62
Explicar a diferença entre o CISO e o CSO
63
O Sistemas de criptografia de discos do Windows (2000 em diante) traz
uma abordagem híbrida, utilizando o melhor da criptografia simétrica e assi-
métrica. Primeiramente é gerado um par de chaves assimétricas EFS, e com a
chave pública do par é gerado um certificado digital. A chave privada é guar-
dada no perfil do usuário.
Em seguida, é gerada uma a FEK (File Encryption Key), e o arquivo é cripto-
grafado com ela. A FEK é uma chave simétrica, mais apropriada para a crip-
tografia de grandes volumes por ser mais rápida e requerer um menor esforço
computacional. Em seguida a FEK é criptografada com chave pública do
usuário e do agente de recuperação do domínio. As duas FEK criptografadas
são anexadas ao arquivo, e este só poderá ser descriptografado com a chave
privada do usuário ou do agente de recuperação do domínio.
64
65
A Evolveris possui uma política de controle de acesso fortemente documen-
tada e divulgada, que considera os seguintes itens:
Requisitos de segurança de aplicações de negócios individuais;
política para disseminação e autorização da informação (necessidade
de conhecer princípios e níveis de segurança e classificação da infor-
mação);
segregação de regras de controle de acesso (pedido de acesso, autori-
zação e administração);
requisitos para autorização formal de pedidos de acesso;
requisitos para análise crítica periódica de controles de acesso;
remoção de direitos de acesso.
66
67
O termo “Triple A” define a tríade de acesso lógico à informação, composta
por autenticação, autorização e auditoria.
Ao solicitar um acesso, a primeira parte da solicitação é a autenticação, com-
posta por identificação e autenticação. Nela o usuário se apresenta e mostra
algum comprovante (algo que sabe, que é ou que possui) de que realmente é
a pessoa que diz ser. Posteriormente, o sistema consulta a base de dados de
autorização e concede ou não o acesso. Neste momento, o sistema consulta a
base de dados de auditoria e verifica se aquela solicitação, independente do
resultado positivo ou negativo, deve ser registrada para auditoria posterior.
Os usuários devem sempre estar familiarizados com os procedimentos e po-
líticas de autenticação.
68
O reference monitor é o componente do sistema de controle de acesso, res-
ponsável por mediar todos os acessos feitos pelos sujeitos aos objetos. Na
prática, a cada solicitação de acesso que o sistema recebe, o reference moni-
tor verifica todas as credenciais do sujeito e dos grupos aos quais ele perten-
ce (UID do UNIX, SID do Windows, etc) e verifica se no objeto existe uma
permissão ou negação explicita para algumas daquelas credenciais, autori-
zando ou negando o acesso de acordo com as regras de acesso e do sistema.
Em sistemas mais modernos como o Windows Vista, Windows Server 2008
e Windows 7, o sistema pode fazer uma segunda verificação, para checar a
integridade do aplicativo que solicitou o acesso, e não somente as credenci-
ais do usuário. Dessa forma, o mesmo usuário teria acesso permitido a um
determinado arquivo, se estiver utilizando o Word, mas poderá ter seu aces-
so negado se tentar acessar o mesmo arquivo utilizando o Internet Explorer.
69
Outra funcionalidade importante dessa mediação de acesso é a auditoria de
eventos. Cada objeto possui, além da lista de sujeitos que podem acessá-lo,
uma lista de auditoria, que descreve quais tipos de acesso devem ser regis-
trados para quais sujeitos. Ex:
Pasta: LCA
Grupo Todos: Registrar falha de acesso de escrita/leitura
Grupo LCA: Registrar sucesso na alteração/remoção de documentos
O Sistema de acesso deva valer para todos os componentes do sistema e de-
vem estar configurados para impor os privilégios concedidos às pessoas
com base na classificação e função do cargo.
A configuração padrão dos sistemas de controle de acesso deve ser “recusar
tudo”, e a partir dai os acessos específicos devem ser concedidos aos grupos.
70
As DACL’s listam, para um determinado recurso, quais são os usuários que
podem acessá-lo e quais ações podem ser praticadas
Elas são chamadas de discricionárias porque o administrador do recurso
pode atribuir permissões a quem desejar, ao contrário das mandatórias
(MAC), onde o criador da informações atribui o nível de classificação da
mesma, e o sistema atribui as permissões.
71
Listam que tipos de ações que um determinado usuário realiza em um deter-
minado recurso devem ser registradas.
Base para auditoria
Grande granularidade de ações
Requer planejamento para não impactar na performance
Essencial para ações de forense
72
A política da Evolveris define que as trilhas de auditoria devem ser protegi-
das e analisadas da forma a seguir:
Apenas os indivíduos que têm uma necessidade relacionada à função
podem visualizar arquivos de trilha de auditoria.
Os arquivos de trilha de auditoria atuais estão protegidos de modifi-
cações não autorizadas por meio de mecanismos de controle de aces-
so, separação física e/ou segregação de redes.
As trilhas de auditoria atualizadas são prontamente salvas em um ser-
vidor de log centralizado
Os logs de tecnologias com acesso externo (wireless, firewalls, DNS,
mail, etc.) são transferidos imediatamente para um centralizado de
log.
73
Deve-se instalar softwares de monitoramento de integridade (FIM—
File Integrity Monitor) dos arquivos ou detecção de mudanças nos
logs.
Os registros de segurança são analisados diariamente e existe um
procedimento formal para o acompanhamento das exceções é exigi-
do.
O Centralizados realiza-se de log de todos os componentes do siste-
ma.
Os registros de auditoria são retidos por cinco anos.
Os últimos três meses de log estão disponíveis para a análise imedia-
ta.
74
75
Os sistemas Windows possuem um banco de dados de contas de usuários
locais, chamado SAM (Security Account Manager). Ele é semelhante ao mé-
todo de autenticação do Unix utilizando passwd e shadow.
Neste modelo, usuário e senha são comparados permitindo a autenticação e
autorização ao sistema. Apesar de este método de autenticação ser muito
utilizado, ele não permite a replicação dos dados e obriga que o cadastro dos
usuários seja feito em cada host da rede
A política da Evolveris exige que as senhas dos usuários devem permanecer
criptografadas durante a transmissão e armazenamento em todos os siste-
mas da organização
76
77
A Política de controle de acesso da Evolveris destaca que cada colaborador
deve possuir identificação exclusiva em seus sistemas da para assegurar que
cada indivíduo seja exclusivamente responsável pelas suas ações
A política prevê também que não podem existir senhas genéricas (Ex: Usuá-
rio: Portaria, Senha: Guarda), ou senhas de grupo (Ex: Usuário: porteiros).
Outra preocupação da política, é a de que não se compartilhe senhas do tipo
administrador ou root. Para esses casos, a Evolveris desabilita essas contas,
ou cria uma senha em que dois administradores sabem somente metade dela,
a esta fica lacrada em um envelope, e depois cria um usuário com direitos
administrativos para cada pessoa com necessidade de negócio para adminis-
trar aquele servidor
78
A Política de gestão de senhas da Evolveris exige que se modifique todas as
senhas padrão de dispositivos e sistemas adquiridos antes que os mesmos
entrem em operação
Para os Access Points de redes sem fio, a política prevê especificamente que
as chaves de criptografia sejam alteradas do padrão na instalação e sempre
que qualquer pessoa que conheça as chaves sai da empresa ou troca de cargo.
Prevê também que os nomes de comunidades de SNMP padrão sejam altera-
dos, que o firmware nos dispositivos sejam atualizado para ser compatível
com a criptografia robusta para a autenticação e a transmissão em redes sem
fio, e que outros padrões ligados à segurança do fornecedor wireless sejam
alterados sempre que necessário.
79
Quanto às senhas de usuário, a política exige usuários alterem as senhas
pelo menos a cada 60 dias, que tenham pelo menos oito caracteres de com-
primento, e três das quatro categorias de caracteres (numéricos, maiúscu-
los , minúsculos e especiais).
As senhas também não podem ser as mesas das seis últimas senhas utiliza-
das, e devem ser bloqueadas após, seis tentativas inválidas de efetuar login,
e que assim permaneçam por 30 minutos ou até que um administrador do
sistema a desbloqueie.
80
O Sistema de gestão de identidades da Evolveris é o mesmo utilizado para
conceder acesso físico às instalações da organização.
O Sistema possui perfis de acesso em que os privilégios são concedidos às
pessoas com base na classificação e na atribuição da função (também cha-
mada de “role-based access control” ou RBAC), dessa forma, a cada vez que
um novo colaborador entra em determinada função ele recebe os acessos
previstos em seu perfil.
A Cada vez que é necessário conceder um novo acesso a um determinado
colaborador, este entra no sistema e solicita o acesso. O sistema emite um e-
mail ao gestor do colaborador que aprova ou não sua solicitação, e uma vez
aprovada essa solicitação vai para a aprovação do gestor da área, que dá a
81
palavra final sobre o acesso. Após essa aprovação o acesso é automatica-
mente atribuído ao perfil do usuário.
Um relatório diário de acessos concedidos é enviado à área de segurança da
informação. Pesquisas por número de concessões e solicitações também
podem ser executadas, além do sistema fornecer alertas quando esses núme-
ros ultrapassam um determinado parâmetro.
Quando um colaborador encerra suas atividades na Evolveris, todos os seus
privilégios são bloqueados, e ao ser transferido, um colaborador perde todas
suas permissões, e recebe as permissões de acordo com o perfil de sua nova
função. Qualquer acesso adicional tem que ser solicitado ao seu gestor, con-
forme explicado anteriormente.
O Acesso ao sistema gestão de identidades é restrito a um pequeno grupo, e
requer o uso de um crachá nível 2, que possui um chip RSA, para autentica-
ção do mesmo.
82
A Evolveris mantém sempre atualizado um diagrama da rede atualizado que
mostra os fluxos de todos os dados sensíveis e registra todas as conexões
com relação a estes dados, incluindo quaisquer redes sem fio. O diagrama
lista também os serviços, protocolos e portas necessárias para os negócios -
por exemplo, protocolos HTTP (hypertext transfer protocol) e SSL (Secure
Sockets Layer), SSH (Secure Shell) e VPN (Virtual Private Network)
A Organização mantém também um documento de padrões de configuração
do firewall e do roteador, com uma descrição dos grupos, funções e responsa-
bilidades quanto ao gerenciamento lógico dos componentes da rede.
A Evolveris não permite o uso de serviços, protocolos e portas inseguras e
exige a instalação de firewalls de perímetro entre quaisquer redes sem fio e
83
sistemas que armazenam dados críticos, que recusem ou controlem (se esse
tráfego for necessário para fins comerciais) qualquer tráfego entre esses dois
ambientes. Além disso, o tráfego de saída do ambiente de dados para a Inter-
net deve estar explicitamente autorizada.
As configurações de firewall devem evitar a divulgação de endereços de IP
privados e informações de roteamento das redes internas para a Internet.
Todas as regras do firewall foram enviadas pela área de SI, e qualquer altera-
ção ou criação de nova regra tem que ser feita através da abertura de um
ticket no sistema de gestão de mudanças, e seguir o fluxo de aprovação. A
cada mudança o diagrama de rede é atualizado
A política de configuração do firewall e do roteador exigem a análise dos
conjuntos de regras pelo menos a cada seis meses.
84
As vulnerabilidades estão sendo continuamente descobertas por indivíduos
mal-intencionados e pesquisadores, e são apresentadas por novos softwares.
Os componentes do sistema, processos e softwares personalizados devem
ser testados com frequência para assegurar que os controles de segurança
continuam adequados a um ambiente em constante transformação.
Como parte da sua política de monitoramento de vulnerabilidades, a Evol-
veris possui um processo para detectar e identificar trimestralmente pontos
de acesso sem fio.
O sistema de monitoramento gera um alerta caso cartões WLAN sejam inse-
ridos nos componentes do sistema ou dispositivos portáteis sem fio sejam
85
conectados aos componentes do sistema por USB, ethernet, etc.
No caso de detecção de qualquer tipo de dispositivo como estes, um ticket é
aberto automaticamente e um técnico vai ao local. Após o registro do ocor-
rido as ações disciplinares cabíveis são tomadas.
A Evolveris possui colaboradores qualificado, que executam varreduras por
vulnerabilidade internas e externas trimestralmente e um ticket de proble-
ma é aberto para cada vulnerabilidades definidas como "Alto".
A Evolveris realiza um teste de penetração na camada de rede, e de invasão
na camada de aplicação uma vez por ano e após quaisquer mudanças signifi-
cativas no ambiente. Caso haja qualquer vulnerabilidades explorável, um
ticket de problema é aberto, a vulnerabilidade é corrigida e os testes repeti-
dos.
86
A Evolveris desenvolveu um processo para desenvolvimento de software
seguro, baseado no SDL (Secure Development Lifecycle) da Microsoft, que
inclui a segurança da informação desde o início do ciclo de vida de desenvol-
vimento.
A política ainda reza que as mudanças no código de todas as aplicações são
revisadas por indivíduos que não sejam os autores do código, e por indiví-
duos que tenham experiência em técnicas de revisão de código e práticas de
código seguro. Os resultados da revisão do código são analisados e aprova-
dos pela gestão antes de serem lançados e as correções apropriadas são im-
plementadas antes do lançamento do software
87
A Política de desenvolvimento da Evolveris prevê que:
Existam ambientes de desenvolvimento e testes separados do ambien-
te de produção, com controle de acesso implementado para garantir, a
separação.
Existe uma separação de funções entre o pessoal designado para de-
senvolvimento/teste e o pessoal designado para o ambiente de produ-
ção.
Dados de produção não são utilizados para teste ou desenvolvimento.
Contas e dados de teste são removidos antes que um sistema em pro-
dução seja ativado.
88
O Código acima mostra uma falha é simples, um clássico Buffer Over-
flow, o programa incrementava o ponteiro pwszServerName com o va-
lor de pwszTemp enquanto o cliente de RPC não enviasse a string “\\”.
Considerando-se que o programador escreveu o cliente e o servidor,
essa lógica estaria perfeita, uma vez que o cliente era bem comportado e
sempre enviaria a string corretamente.
O problema é que o serviço de RPC espera por essa string através de
uma porta de rede, onde qualquer aplicação pode se conectar e dizer
que é o cliente RPC, até mesmo um vírus, que ao invés de mandar a
string “\\” encheria o buffer da aplicação com seu próprio código, para
posteriormente ser executado na própria máquina de destino.
89
O Buffer é a memória utilizada para guardar as entradas de um usuário, e ge-
ralmente tem um tamanho pré-fixado. Quando um usuário envia mais dados
do que o Buffer foi programado para suportar, estes dados passam então a
ocupar um espaço de memória destinado a guardar outras entradas de usuá-
rios e até mesmo um ponteiro, destinado a guardar o endereço de memória
onde o programa deve executar a próxima instrução.
90
A Injeção de código SQL (SQL
Injection), é uma forma de ataque a
aplicações onde o usuário ao invés de
entrar com um dado “inocente” como
u m nome (Ex : P i et ro) ou
identificador (Ex: 1001) entra com
uma expressão SQL, que altera o
funcionamento da aplicação para
realizar alguma ação que poderá
comprometer a confidencialidade,
disponibilidade e integridade das
aplicações.
string Status = "No"; string sqlstring =""; try { SqlConnection sql= new SqlConnection( @"data source=localhost;" + "user id=sa;password=password;"); sql.Open(); sqlstring="SELECT HasShipped" + " FROM detail WHERE ID='" + Id + "'"; SqlCommand cmd = new SqlCommand(sqlstring,sql); if ((int)cmd.ExecuteScalar() != 0) Status = "Yes"; } catch (SqlException se) { Status = sqlstring + " failed\n\r"; foreach (SqlError e in se.Errors) { Status += e.Message + "\n\r"; } } catch (Exception e) { Status = e.ToString(); }
91
92
93
94
Após o lançamento de um software, uma vulnerabilidade não detecta-
da nas fases de teste permanece latente até que algum pesquisador
(esse sim, geralmente um Hacker) contratado pelo próprio fabricante,
por terceiros ou independente a encontre.
A índole do pesquisador vai ditar as regras de quando ele irá publicar
a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e
este tratar segurança como algo sério, a vulnerabilidade somente será
publicada após uma correção estar disponibilizada para os usuários.
Caso ele não se importe com o fabricante ou com os usuários, a vulne-
rabilidade pode ser publicada assim que ele a descobrir ou quando ele
já tiver um código que a explore.
95
Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-
bilizá-la para um criador de vírus que utilizam se de “zero-days”, ou
seja, exploração de vulnerabilidades zero ou menos dias antes da pu-
blicação da correção.
Uma vez que a correção é publicada inicia-se o período de homologa-
ção por parte do usuário, que pode levar de horas a dias. Os últimos
estudos mostram que os vírus baseados em zero-days ou em corre-
ções recém lançadas tem tido uma penetração maior em empresas do
que em usuários domésticos, porque estes contam com um serviço de
atualização automática, e as organizações perdem um tempo valioso
em seu processo de homologação, que apesar de importante deve ser
tratado com prioridade para que essa não fique exposta a ameaças
durante muito tempo.
96
O cavalo de Tróia tem como característica trazer junto a um programa qual-
quer um outro programa de código malicioso, o qual será instalado na má-
quina no momento em que o programa principal for executado. Esta técnica
pode trazer diferentes ameaças, com vírus, adware, spyware, key loggers etc.
O Nome vem da lendária guerra entre Gregos e Troianos, onde os gregos
deixam para os Troianos um enorme cavalo de madeira, que é interpretado
como um símbolo de rendição e um presente para o vencedor da guerra. Po-
rém, o ―Presente de Grego‖ encontra-se ―recheado‖ de soldados gregos
que finalmente conseguem se infiltrar nas muralhas de Troia, sem no entan-
to ter que superá-las.
97
Assim como na lenda de Troia, o programa ―Cavalo de tróia‖ é normalmen-
te enviado como um Phishing, um falso presente para a vítima, utilizando
um tema que desperte seu interesse abrir o presente e inserir o Malware no
computador sem o conhecimento do usuário e sem que este tenha que pas-
sar pelo firewall ou outra proteção.
Os trojans podem vir dentro de uma infinidade de tipos de arquivo, alguns
exemplos são os cartões virtuais, descansos de tela, cracks‖, apresentações,
vídeos e até fotos.
Os trojans contam mais com o despreparo da vítima do que com as qualifi-
cações do atacante, por esse motivo é considerado um ferramenta básica
para atacantes iniciantes (Script Kids).
O Trojan Horse é um dos Malwares mais encontrados em computadores
domésticos, e podem desempenhar diversas funções (Spyware, vírus, back-
door, etc) dependendo da finalidade com que foram concebidos.
98
Alerta: trojan bancário se passa por instalador do Google Chrome
Segundo a Trend Micro, o malware aplica técnica ousada para fisgar
suas vítimas
Uma nova ameaça dedicada ao roubo de dados bancários, o TSPY_ Ban-
ker.EUIQ foi descoberto pelos pesquisadores da TrendLabs Brasil, laborató-
rio da Trend Micro. Segundo a companhia, o malware atacou mais de três
mil usuários nos últimos dias, a maior parte deles aqui no país.
A equipe de pesquisadores brasileiros encontrou algumas URLs suspeitas
indicando caminhos não comuns para download do arquivo ChromeSe-
tup.exe, que iludiam a vítima ao fazê-los acreditar que o arquivo estava hos-
pedado em domínios como Facebook, Terra, Google, entre outros.
Algumas das URLs são (para sua segurança, não tente testá-las):
hxxp://b r.msn.com/ChromeSetup.exe
hxxp://www.faceb ook.com.b r/ChromeSetup.exe
hxxp://www.faceb ook.com/ChromeSetup.exe
hxxp://www.glob o.com.b r/ChromeSetup.exe
hxxp://www.google.com.b r/ChromeSetup.exe
hxxp://www.terra.com.b r/ChromeSetup.exe
99
A ação dos especialistas mostrou que os endereços estavam sendo manipu-
lados por um malware bancário multi-modular, que utilizava uma aborda-
gem inusitada para fazer o ataque. Ao acessar estas URLs, os usuários eram
direcionados a outros endereços que não pertenciam aos domínios legíti-
mos.
De acordo com Alberto Medeiros, especialista da Trend Micro, a ameaça
age induzindo a vítima a realizar o download do seu módulo principal, o
ChromeSetup.exe. "Após a infecção, o malware envia informações da má-
quina do usuário como IP, nome de host Windows da máquina, sistema
operacional e versão para um servidor de C&C - Comando e Controle", ex-
plica. Na sequência, a ameaça faz outro download, dessa vez de um arquivo
que redireciona o acesso a páginas bancárias falsas sempre que o usuário
tenta visitar sites bancários legítimos, apresentando sempre a seguinte
mensagem: “Aguarde, carregando o sistema”
Medeiros alerta para um detalhe importante que pode ajudar o usuário a
identificar o malware. "A página falsa do banco apresenta um caractere sub-
linhado (como mostrado na tela baixo), no título da janela, antes do nome
do banco, como pode ser observado nas imagens acima. Caso isso aconteça,
o usuário não deve cadastrar seus dados e senhas. Outro ponto de atenção é
o fato do redirecionamento que o malware realiza para o link utilizado pe-
los cibercriminosos. Sempre que for acessar contas bancárias, os usuários
devem fazê-lo por meio de domínios válidos", finaliza.
http://www.administradores.com.br/informe-se/tecnologia/alerta-trojan-bancario-
se-passa-porinstalador-do-google-chrome/55300/
100