Mini Curso - Segurança da Informação - Fase I - Apresentação / Introdução

Apresentação

Olá prezados leitores que acompanham o blog Tecnologia que Interessa. Como anunciado pelo Christian Guerreiro, sou um novo colaborador do blog que irá postar uma espécie de mini curso referente ao tema Segurança da Informação. Nosso mini curso terá o seguinte cronograma:

Conteúdo Programático do Mini Curso – Segurança da Informação
Apresentação/Introdução
Criptografia
Planejamento e Implementação de Serviços em Redes de Computadores
Princípios da Segurança da Informação
Governança de T.I.
Resposta a Incidentes e Plano de Continuidade do Negócio
Tecnologia da Informação nas Organizações
Políticas de Segurança da Informação
Análise e Gestão de Riscos em Segurança da Informação
Tecnologias de Redes de Computadores
Fator Humano na Segurança da Informação
Gestão em Segurança da Informação
Diagnóstico e Soluções de Problemas com T.I.
Auditoria em Sistemas de Informação
Gerenciamento do acesso lógico, requisitos de segurança em sistemas de informação, segurança de arquivos do sistema, vazamento de informação
Tipos de ameaças, danos e riscos, medidas para redução de risco, guia para implementação de medidas de segurança
Legislação e regulamentações
Principais certificações na área de Segurança da Informação: CISSP, ISO27000,CRISC, CISM, CISA, CHE, ETC.
Fase I
Fase II
Fase III


Introdução

Antes de iniciar gostaria de informar que este curso terá uma abordagem mais abrangente.

A ideia é demonstrar através destes tópicos como a Segurança da Informação tem evoluído juntamente com a tecnologia e como os riscos e ameaças também evoluíram e ainda destacar que hoje em dia já não se teme tanto uma 3ª Guerra Mundial quanto uma cyber guerra onde serviços e sistemas cairiam causando um verdadeiro caos cibernético em todo o mundo.

Para causar uma prévia de pânico basta dizer que todos os servidores root DNS foram atacados e comprometidos. Já imaginou?! Pois é, estamos todos no mesmo barco, cada um com sua personalidade virtual, mas todos fazemos parte de uma grande rede, a grande rede mundial, a Internet.

Estamos todos conectados e alguns termos antes técnicos tornaram-se comuns até para os iniciantes no mundo virtual. Termos como redes de comutadores, rede, roteamento, banda larga (broadband), fibra óptica, dentre outros.

Vemos que adolescentes já sabem configurar um determinado game para jogar através da rede, sabe colocar portas, sabe configurar um firewall de uso doméstico, liberar portas no seu dispositivo de rede e tudo isso com o auxílio da própria rede.

Explico. Depois do Google muitas pessoas aprendem as coisas utilizando tutoriais disponibilizados na grande rede.

Assim como o adolescente configura seu game, o estudante efetua pesquisas acadêmicas para sua universidade, o Professor posta material rico em conhecimento para seus alunos, as universidades ensinam via rede (EaD), você estuda através da rede (Ead), e tantas outras atividades que cada um faz utilizando a Internet.

Uma infinidade de conteúdos estão disponibilizados na Internet, conteúdos, inclusive, maléficos e que pode causar danos em sistemas e equipamentos.

Ameaças e a História

Quem começou a lidar com informática e computadores na década de 1990 como eu devem se lembrar da saudosa BBS, de como era complicado configurar uma rede local e de como o terror de todos eram os disquetes infectados por vírus.

Isto mesmo, naquela época já haviam ameaças diversas que comprometiam o Sistema Operacional e deixava um computador inoperante. Aliás, foi na década de 1990 que surgiu o primeiro vírus polimórfico que levou o nome de Vírus 1260 e foi escrito por Mark Washburn em 1989.

Depois tivemos o DIRII.A e outros, como o W32.Changeup. Os antivírus eram atualizados via disquetes que vinham pelo correio, ou se você tinha algum amigo que cursava Análise de Sistemas, pedia a ele os arquivos de atualização (vacinas) copiadas da universidade.

Achou estranho o termo polimórfico? Nesta fase existiam os vírus simples, os encriptados e os metamórficos (Hoje muito mais classes foram criadas tamanha a quantidade e modalidades de ataques praticados e pragas virtuais).

Como disse nos parênteses, além da categoria de vírus, nós temos outras ameaças surgidas a partir do ano 2000.

Um exemplo são os Worms, cavalos de tróia (alguns autores categorizam como vírus outros os põe na categoria Trojan), phishings, exploits, backdoors, dentre tantas outras ameaças catalogadas e ainda as que não foram catalogadas.

Sem contar com os ataques de DoS, DDoS, sniffing, flood, entre outras modalidades que iremos abordar ao longo das postagens futuras e também veremos como agir em certos casos, como se proteger e como manter nosso ambiente corporativo protegido das ameaças além de mensurar segurança x usabilidade.

Retornando, voltamos lá na década de 1990 onde tínhamos os vírus simples, polimórficos, metamórficos e encriptados. Nesta época, todas as ameaças circulavam não através da rede (que ainda não era tão popular), mas sim através do uso de disquetes para troca de arquivos, instalação de programas, etc.

Existiam os famigerados vírus de boot, como o Natas e o Satan.bug.Natas. Que não permitiam que o computador inicializasse o sistema operacional inserindo-se no setor de boot (MBR) do disco rígido.

Tivemos uma variante nacional, dizem que foi escrito por um baiano, que foi notícia na época. Quem lembra do “Eu te amo Daniela...”? Era um vírus de boot que travava o computador e deixava esta mensagem na tela.

A mensagem exibida estava na verdade gravada na MBR do disco. Era uma variante do vírus Stoned. Na época apenas o ThunderByte Antivírus e o Fprot Antivírus conseguiam removê-lo através de um disquete preparado para tal fim. Mas o nome que aparecia era Stoned.Michelangelo.

Isso mesmo. Já que o autor modificou uma pequena parte do código do vírus stoned e introduziu a mensagem “Eu te amo Daniela...”. Deste modo a assinatura era detectada originalmente como Stoned e a parte modificada, sabe-se lá por quê, recebia o nome de Michelangelo.

Encriptação, Polimorfismo, Metamorfismo

Bom, vamos tornar a coisa mais interessante? Que tal nós vermos um pouco mais sobre alguns conceitos interessantes como polimorfismo, metamorfismo e encriptação?

Vírus Encriptados:

A ideia básica era esconder a assinatura que o vírus possuída fixa e servia como parâmetro para detecção pelos antivírus. Basicamente consistia em uma rotina e decriptação e encriptação de um corpo ao ser executado.

Executando-se o código iniciava-se a decriptação, após isso, o corpo do vírus se proliferava pela máquina como um simples vírus mas com um diferencial de efetuar a encriptação do vírus com uma nova chave, escondendo-se assim dos antivírus.

Como a rotina de decriptação era a mesma logo os antivírus passaram a verificar determinada sequência de bytes que identificasse a rotina de decriptação.

  •         Count=#VirusBytes
  •          Temp=FetchNextBytes
  •          Temp=Decrypt(Temp)
  •          StoreNextByte(Temp)
  •          Decrement Count
  •          If count > 0, GoTo 2
  •          %$%&*(())*&¨%¨%¨&&*
  •          $$%%%¨***(()))))__)(*&
  •          &&%$#@(*&%$##$%%%

Rotina de Decriptação do Vírus
Corpo Encriptado do Vírus
  •          Count=#VirusBytes
  •          Temp=FetchNextBytes
  •          Temp=Decrypt(Temp)
  •          StoreNextByte(Temp)
  •          Decrement Count
  •          If count > 0, GoTo 2
  •          Search for na EXE file
  •         Change the atributes...
  •          Open the file...

Rotina de Decriptação do Vírus
Corpo Decriptado do Vírus

Vírus Polimórficos:

Basicamente possuíam como característica principal criar uma variante a cada execução alterando tanto a rotina de decriptação como a rotina de encriptação. Isto dificultava bastante a detecção pelos softwares de proteção.

Contudo os antivírus usavam um emulador chamado de sandbox para efetuar a decriptação do vírus ou efetuavam uma varredura buscando um padrão do vírus já que o código muda, porém a semântica é sempre a mesma. Vamos a um exemplo do código do vírus 1260.

Código em Assembly, comentado:
Rotina de decriptação:

; Group 1  Prolog Instructions
inc si ; instrução desnecessária, código variável
mov  ax,0E9B ; configurar a primeira chave
clc ; instrução desnecessária, código variável
mov di,012A; offset da instrução Start (corpo do vírus)
nop; instrução desnecessária, código variável
mov cx,0571; usado como segunda chave

; Group 2  Decryption Instructions
Decrypt:
xor [di],cx ; decriptar primeira palavra com a segunda chave
sub bx,dx ; instrução desnecessária, código variável
xor bx,cx  ; instrução desnecessária, código variável
sub bx,ax ; instrução desnecessária, código variável
sub bx,cx ; instrução desnecessária, código variável
nop ; código necessário, porém nada faz
xor dx,cx ; instrução desnecessária, código variável
xor [di],ax ; decriptar primeira palavra com a primeira chave

; Group 3  Decryption Instructions
Inc di ; ir para o próximo byte a ser decriptado
nop ; código necessário, porém nada faz
clc ; instrução desnecessária, código variável
inc ax ; incrementar primeira chave
; loop
loop Decrypt; até que todos os bytes sejam decriptados incrementar a segunda chave
; preenchimento aleatório de 39 bytes
Start:
; Corpo do vírus encriptado/decriptado

Vírus Metamórficos:

Os vírus polimórficos até demoravam de serem detectados, mas os antivírus terminavam por encontrá-los e exterminá-los do computador.

Então surgiu o W32/Apparition que não utilizava decriptadores polimórficos para realizar as suas funções de mutação.

O vírus inseria dentro do seu código informações desnecessárias e se auto recompilava, deste modo uma nova geração era criada totalmente diferente das outras ou da original.

Para isto ele se utilizava de qualquer compilador C que encontrasse no computador. Sistemas Unix eram mais vulneráveis, por incrível que pareça, por possuir compilador C instalado já com o sistema.

Ao invés de criar variantes os metamorfose criavam gerações diferentes com a capacidade de alterar o próprio corpo. Vou ilustrar abaixo.

 Gerações de um vírus metamórfico complexo:





Conclusão


Bom, agora que vimos e vemos alguns exemplos das ameaças, o que podemos dizer em primeira análise é que através destes conceitos apresentados vemos que as ameaças foram evoluindo, junto com a tecnologia de proteção e acompanhando as tendências da tecnologia.

Quando da popularização das redes de computadores os disquetes deixaram de ser as fontes de infecção e deram lugar aos pendrives e a própria rede como fonte de proliferação. Ou seja, sem um software de proteção, atualizado, era impossível se sentir seguro em um ambiente assim.

Pense que ao acessar uma determinada página na web, por detrás do acesso simples, um código malicioso pode estar sendo executado afim de explorar as vulnerabilidades existentes, expondo em risco o seu computador ou computador de sua organização à exploração destas vulnerabilidades.

Passando para a categoria de incidente de segurança no caso de uma vulnerabilidade de sistema ser encontrada e explorada comprometendo completamente o seu sistema.

Hoje em dia, a segurança da informação deixou de ser algo tão somente corporativo e passou também a tratar do usuário doméstico.

Com os crimes de roubo de dados através da Internet os softwares antivírus, passaram a se tornar verdadeiras suítes de segurança apresentando-se como Internet Security, visando cobrir não só a busca por vírus localmente, como proteger a conexão com a rede através de um firewall doméstico.

As corporações passaram a contar com verdadeiros appliances de segurança que são módulos de hardware dedicados exclusivamente para detectar ameaças em potencial e realizar as medidas necessárias para conter a ameaça.

Em ação junto com esses appliances também existiam os appliances de firewall que agiam em conjunto promovendo uma proteção mais abrangente do ambiente. IPS, IDS e DMZ (veremos todos estes termos em detalhes nas postagens futuras) também são utilizados para aumentar a segurança.

No entanto devemos ter cautela, pois existe a regra de que quanto mais seguro for um ambiente informatizado, menos funcional ele se tornará.

Então, torna-se necessário conhecer as regras de negócio da corporação, os processos envolvidos, as metodologias empregadas para que assim os itens que comporão a segurança da empresa sejam mensurados de modo ideal.

Logo a Segurança da Informação está ligada à Governança, à Auditoria, à análise de riscos e assim por diante.

Veremos que cada parte se encaixa no processo da implantação de um Sistema de Gerenciamento da Segurança da Informação (SGSI).

Curiosidade:

Pessoal, que tal começarmos a ver na prática alguns dados relativos à segurança da informação e aproveitar para ficarmos antenados com esses levantamentos realizados por empresas especializadas em Cyber Security. Neste caso, estou utilizando os dados de uma pesquisa da empresa FireEye.

Vamos lá!!

Pra começar nosso País, o Brasil, está no topo como alvo das chamadas APT’s. APT é uma sigla americana para Ameaças Avançadas Persistentes.

Nelas vamos encontrar a mais nova modalidade de ameaça virtual, classificado como ransonwares que são os sequestradores de dados.

Particularmente ele encripta seus dados e para liberar a chave de desencriptação eles cobram um determinado valor que pode beirar aos 2.000,00US$ por equipamento.

Assustador, não? Veja abaixo dados resumidos da pesquisa.


Top 5 Países mais atacados
  • 1.    Brasil
  • 2.    Chile
  • 3.    México
  • 4.    Peru
  • 5.    Argentina

Top 5 Países contaminados
  •      1.    Brasil
  •      2.    Peru
  •      3.    México
  •      4.    Chile
  •      5.    Argentina


Top 5 APT’s na América Latina

  •      1.    Backdoor.APT.Kaba
  •      2.    Backdoor.APT.Spynet
  •      3.    Backdoor.APT.LV
  •      4.    Backdoor.APT.Gh0stRAT
  •      5.    Backdoor.APT.XtremeRAT


Top 10 Segmentos mais contaminados

  •      1.    Química/Manufatura/Mineração
  •      2.    Serviços financeiros
  •      3.    Energia/utilidades
  •      4.    Governo Federal
  •      5.    Varejo
  •      6.    Saúde/farmacêutico
  •      7.    Serviços/consultoria
  •      8.    Telecomunicação
  •      9.    Entretenimento/mídia/hospedagem


Top 10 Ameaças Virtuais na América Latina

  •      1.    Trojan.Kelihos
  •      2.    Malicious.URL
  •      3.    DTI.Callback
  •      4.    Backdoor.Kelihos.F
  •      5.    Malware.ZerodayCallback
  •      6.    Backoor.H-worm
  •      7.    Trojan.Necurs
  •      8.    Trojan.Rerdom.A
  •      9.    Local.Infection
  •    10. Trojan.CryptoWall




Então, até a próxima postagem pessoal! Espero que tenham gostado, pois eu gostei muito desta experiência de colaboração. Na próxima postagem falaremos sobre os Princípios da Segurança da Informação. Deixem seus comentários e observações. Gostaríamos de saber o que acharam deste artigo introdutório.

Victor Melo de Araújo

Victor Melo de Araújo

Sou um ser tecnologicamente aficionado. Graduado em Redes de Computadores com Especialização em Redes e Telecomunicações e Segurança da Informação, possuo um livro publicado sobre Segurança da Informação lá no site do Clube dos Autores.Tentei outras áreas de atuação como Administração, mas enfim... sou programador autodidata em Delphi e .Net e Administrador de Redes Microsoft e Linux. Atualmente me dedico a aprender a programar em java e estudar Tanenbaum. Sou escritor nas horas vagas e curto um pouco de filosofia.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!