Apresentação

Olá
prezados leitores que acompanham o blog Tecnologia que Interessa. Como
anunciado pelo Christian Guerreiro, sou um novo colaborador do blog que irá
postar uma espécie de mini curso referente ao tema Segurança da Informação.
Nosso mini curso terá o seguinte cronograma:
Conteúdo
Programático do Mini Curso – Segurança da Informação
Apresentação/Introdução
Criptografia
Planejamento e Implementação de Serviços em Redes de
Computadores
Princípios da Segurança da
Informação
Governança
de T.I.
Resposta
a Incidentes e Plano de Continuidade do Negócio
Tecnologia da Informação nas
Organizações
Políticas de Segurança da Informação
Análise e Gestão de Riscos em Segurança da Informação
Tecnologias de Redes de
Computadores
Fator
Humano na Segurança da Informação
Gestão
em Segurança da Informação
Diagnóstico e Soluções de
Problemas com T.I.
Auditoria em Sistemas de Informação
Gerenciamento do acesso lógico, requisitos de segurança
em sistemas de informação, segurança de arquivos do sistema, vazamento de
informação
Tipos de ameaças, danos e
riscos, medidas para redução de risco, guia para implementação de medidas de segurança
Legislação
e regulamentações
Principais
certificações na área de Segurança da Informação: CISSP, ISO27000,CRISC,
CISM, CISA, CHE, ETC.
Fase
I
Fase II
Fase III

Introdução
Antes
de iniciar gostaria de informar que este curso terá uma abordagem mais
abrangente.
A
ideia é demonstrar através destes tópicos como a Segurança da Informação tem
evoluído juntamente com a tecnologia e como os riscos e ameaças também
evoluíram e ainda destacar que hoje em dia já não se teme tanto uma 3ª Guerra
Mundial quanto uma cyber guerra onde serviços e sistemas cairiam causando um
verdadeiro caos cibernético em todo o mundo.
Para
causar uma prévia de pânico basta dizer que todos os servidores root DNS foram atacados
e comprometidos. Já imaginou?! Pois é, estamos todos no mesmo barco, cada um
com sua personalidade virtual, mas todos fazemos parte de uma grande rede, a
grande rede mundial, a Internet.
Estamos
todos conectados e alguns termos antes técnicos tornaram-se comuns até para os
iniciantes no mundo virtual. Termos como redes de comutadores, rede,
roteamento, banda larga (broadband), fibra óptica, dentre outros.
Vemos
que adolescentes já sabem configurar um determinado game para jogar através da
rede, sabe colocar portas, sabe configurar um firewall de uso doméstico,
liberar portas no seu dispositivo de rede e tudo isso com o auxílio da própria
rede.
Explico.
Depois do Google muitas pessoas aprendem as coisas utilizando tutoriais
disponibilizados na grande rede.
Assim
como o adolescente configura seu game, o estudante efetua pesquisas acadêmicas
para sua universidade, o Professor posta material rico em conhecimento para
seus alunos, as universidades ensinam via rede (EaD), você estuda através da
rede (Ead), e tantas outras atividades que cada um faz utilizando a Internet.
Uma
infinidade de conteúdos estão disponibilizados na Internet, conteúdos,
inclusive, maléficos e que pode causar danos em sistemas e equipamentos.
Ameaças e a História
Quem
começou a lidar com informática e computadores na década de 1990 como eu devem
se lembrar da saudosa BBS, de como era complicado configurar uma rede local e
de como o terror de todos eram os disquetes infectados por vírus.
Isto
mesmo, naquela época já haviam ameaças diversas que comprometiam o Sistema
Operacional e deixava um computador inoperante. Aliás, foi na década de 1990
que surgiu o primeiro vírus polimórfico que levou o nome de Vírus 1260 e foi
escrito por Mark Washburn em 1989.
Depois
tivemos o DIRII.A e outros, como o W32.Changeup. Os antivírus eram atualizados
via disquetes que vinham pelo correio, ou se você tinha algum amigo que cursava
Análise de Sistemas, pedia a ele os arquivos de atualização (vacinas) copiadas
da universidade.
Achou
estranho o termo polimórfico? Nesta fase existiam os vírus simples, os
encriptados e os metamórficos (Hoje muito mais classes foram criadas tamanha a
quantidade e modalidades de ataques praticados e pragas virtuais).
Como
disse nos parênteses, além da categoria de vírus, nós temos outras ameaças
surgidas a partir do ano 2000.
Um
exemplo são os Worms, cavalos de tróia (alguns autores categorizam como vírus
outros os põe na categoria Trojan), phishings, exploits, backdoors, dentre
tantas outras ameaças catalogadas e ainda as que não foram catalogadas.
Sem
contar com os ataques de DoS, DDoS, sniffing, flood, entre outras modalidades
que iremos abordar ao longo das postagens futuras e também veremos como agir em
certos casos, como se proteger e como manter nosso ambiente corporativo
protegido das ameaças além de mensurar segurança x usabilidade.
Retornando,
voltamos lá na década de 1990 onde tínhamos os vírus simples, polimórficos,
metamórficos e encriptados. Nesta época, todas as ameaças circulavam não
através da rede (que ainda não era tão popular), mas sim através do uso de
disquetes para troca de arquivos, instalação de programas, etc.
Existiam
os famigerados vírus de boot, como o Natas e o Satan.bug.Natas. Que não
permitiam que o computador inicializasse o sistema operacional inserindo-se no
setor de boot (MBR) do disco rígido.
Tivemos
uma variante nacional, dizem que foi escrito por um baiano, que foi notícia na
época. Quem lembra do “Eu te amo Daniela…”? Era um vírus de boot que travava
o computador e deixava esta mensagem na tela.
A
mensagem exibida estava na verdade gravada na MBR do disco. Era uma variante do
vírus Stoned. Na época apenas o ThunderByte Antivírus e o Fprot Antivírus
conseguiam removê-lo através de um disquete preparado para tal fim. Mas o nome
que aparecia era Stoned.Michelangelo.
Isso
mesmo. Já que o autor modificou uma pequena parte do código do vírus stoned e
introduziu a mensagem “Eu te amo Daniela…”. Deste modo a assinatura era
detectada originalmente como Stoned e a parte modificada, sabe-se lá por quê,
recebia o nome de Michelangelo.
Encriptação, Polimorfismo, Metamorfismo
Bom,
vamos tornar a coisa mais interessante? Que tal nós vermos um pouco mais sobre
alguns conceitos interessantes como polimorfismo, metamorfismo e encriptação?
Vírus Encriptados:
A
ideia básica era esconder a assinatura que o vírus possuída fixa e servia como
parâmetro para detecção pelos antivírus. Basicamente consistia em uma rotina e
decriptação e encriptação de um corpo ao ser executado.
Executando-se
o código iniciava-se a decriptação, após isso, o corpo do vírus se proliferava
pela máquina como um simples vírus mas com um diferencial de efetuar a
encriptação do vírus com uma nova chave, escondendo-se assim dos antivírus.
Como
a rotina de decriptação era a mesma logo os antivírus passaram a verificar
determinada sequência de bytes que identificasse a rotina de decriptação.
  •         Count=#VirusBytes
  •          Temp=FetchNextBytes
  •          Temp=Decrypt(Temp)
  •          StoreNextByte(Temp)
  •          Decrement Count
  •          If count > 0, GoTo 2
  •          %$%&*(())*&¨%¨%¨&&*
  •          $$%%%¨***(()))))__)(*&
  •          &&%$#@(*&%$##$%%%

Rotina de Decriptação do Vírus
Corpo Encriptado do Vírus
  •          Count=#VirusBytes
  •          Temp=FetchNextBytes
  •          Temp=Decrypt(Temp)
  •          StoreNextByte(Temp)
  •          Decrement Count
  •          If count > 0, GoTo 2
  •          Search for na EXE file
  •         Change the atributes…
  •          Open the file…

Rotina de Decriptação do Vírus
Corpo Decriptado do Vírus
Vírus Polimórficos:
Basicamente
possuíam como característica principal criar uma variante a cada execução
alterando tanto a rotina de decriptação como a rotina de encriptação. Isto
dificultava bastante a detecção pelos softwares de proteção.
Contudo
os antivírus usavam um emulador chamado de sandbox para efetuar a decriptação
do vírus ou efetuavam uma varredura buscando um padrão do vírus já que o código
muda, porém a semântica é sempre a mesma. Vamos a um exemplo do código do vírus
1260.
Código em Assembly, comentado:
Rotina de decriptação:

;
Group 1  Prolog Instructions
inc
si ; instrução desnecessária, código variável
mov  ax,0E9B ; configurar a primeira chave
clc ;
instrução desnecessária, código variável
mov
di,012A; offset da instrução Start (corpo do vírus)
nop;
instrução desnecessária, código variável
mov
cx,0571; usado como segunda chave

;
Group 2  Decryption Instructions
Decrypt:
xor
[di],cx ; decriptar primeira palavra com a segunda chave
sub
bx,dx ; instrução desnecessária, código variável
xor
bx,cx  ; instrução desnecessária, código
variável
sub
bx,ax ; instrução desnecessária, código variável
sub
bx,cx ; instrução desnecessária, código variável
nop ;
código necessário, porém nada faz
xor
dx,cx ; instrução desnecessária, código variável
xor
[di],ax ; decriptar primeira palavra com a primeira chave

;
Group 3  Decryption Instructions
Inc
di ; ir para o próximo byte a ser decriptado
nop ;
código necessário, porém nada faz
clc ;
instrução desnecessária, código variável
inc
ax ; incrementar primeira chave
;
loop
loop
Decrypt; até que todos os bytes sejam decriptados incrementar a segunda chave
;
preenchimento aleatório de 39 bytes
Start:
;
Corpo do vírus encriptado/decriptado

Vírus Metamórficos:
Os
vírus polimórficos até demoravam de serem detectados, mas os antivírus
terminavam por encontrá-los e exterminá-los do computador.
Então
surgiu o W32/Apparition que não utilizava decriptadores polimórficos para
realizar as suas funções de mutação.
O vírus
inseria dentro do seu código informações desnecessárias e se auto recompilava,
deste modo uma nova geração era criada totalmente diferente das outras ou da
original.
Para
isto ele se utilizava de qualquer compilador C que encontrasse no computador.
Sistemas Unix eram mais vulneráveis, por incrível que pareça, por possuir
compilador C instalado já com o sistema.
Ao
invés de criar variantes os metamorfose criavam gerações diferentes com a
capacidade de alterar o próprio corpo. Vou ilustrar abaixo.

 Gerações de um vírus metamórfico
complexo:



Conclusão
Bom, agora que vimos e vemos
alguns exemplos das ameaças, o que podemos dizer em primeira análise é que
através destes conceitos apresentados vemos que as ameaças foram evoluindo,
junto com a tecnologia de proteção e acompanhando as tendências da tecnologia.
Quando da popularização das
redes de computadores os disquetes deixaram de ser as fontes de infecção e
deram lugar aos pendrives e a própria rede como fonte de proliferação. Ou seja,
sem um software de proteção, atualizado, era impossível se sentir seguro em um
ambiente assim.
Pense que ao acessar uma
determinada página na web, por detrás do acesso simples, um código malicioso
pode estar sendo executado afim de explorar as vulnerabilidades existentes,
expondo em risco o seu computador ou computador de sua organização à exploração
destas vulnerabilidades.
Passando para a categoria de
incidente de segurança no caso de uma vulnerabilidade de sistema ser encontrada
e explorada comprometendo completamente o seu sistema.
Hoje em dia, a segurança da
informação deixou de ser algo tão somente corporativo e passou também a tratar
do usuário doméstico.
Com os crimes de roubo de
dados através da Internet os softwares antivírus, passaram a se tornar
verdadeiras suítes de segurança apresentando-se como Internet Security, visando
cobrir não só a busca por vírus localmente, como proteger a conexão com a rede
através de um firewall doméstico.
As corporações passaram a
contar com verdadeiros appliances de segurança que são módulos de hardware
dedicados exclusivamente para detectar ameaças em potencial e realizar as
medidas necessárias para conter a ameaça.
Em ação junto com esses
appliances também existiam os appliances de firewall que agiam em conjunto
promovendo uma proteção mais abrangente do ambiente. IPS, IDS e DMZ (veremos
todos estes termos em detalhes nas postagens futuras) também são utilizados
para aumentar a segurança.
No entanto devemos ter
cautela, pois existe a regra de que quanto mais seguro for um ambiente
informatizado, menos funcional ele se tornará.
Então, torna-se necessário
conhecer as regras de negócio da corporação, os processos envolvidos, as
metodologias empregadas para que assim os itens que comporão a segurança da
empresa sejam mensurados de modo ideal.
Logo a Segurança da
Informação está ligada à Governança, à Auditoria, à análise de riscos e assim
por diante.
Veremos que cada parte se
encaixa no processo da implantação de um Sistema de Gerenciamento da Segurança
da Informação (SGSI).
Curiosidade:
Pessoal, que tal começarmos
a ver na prática alguns dados relativos à segurança da informação e aproveitar
para ficarmos antenados com esses levantamentos realizados por empresas
especializadas em Cyber Security. Neste caso, estou utilizando os dados de uma
pesquisa da empresa FireEye.
Vamos lá!!
Pra começar nosso País, o
Brasil, está no topo como alvo das chamadas APT’s. APT é uma sigla americana
para Ameaças Avançadas Persistentes.
Nelas vamos encontrar a mais
nova modalidade de ameaça virtual, classificado como ransonwares que são os
sequestradores de dados.
Particularmente ele encripta
seus dados e para liberar a chave de desencriptação eles cobram um determinado
valor que pode beirar aos 2.000,00US$ por equipamento.
Assustador, não? Veja abaixo
dados resumidos da pesquisa.
Top
5 Países mais atacados
  • 1.   
    Brasil
  • 2.   
    Chile
  • 3.   
    México
  • 4.   
    Peru
  • 5.   
    Argentina

Top
5 Países contaminados
  •      1.   
    Brasil
  •      2.   
    Peru
  •      3.   
    México
  •      4.   
    Chile
  •      5.   
    Argentina

Top
5 APT’s na América Latina

  •      1.   
    Backdoor.APT.Kaba
  •      2.   
    Backdoor.APT.Spynet
  •      3.    Backdoor.APT.LV
  •      4.    Backdoor.APT.Gh0stRAT
  •      5.    Backdoor.APT.XtremeRAT

Top
10 Segmentos mais contaminados

  •      1.   
    Química/Manufatura/Mineração
  •      2.   
    Serviços financeiros
  •      3.   
    Energia/utilidades
  •      4.   
    Governo Federal
  •      5.   
    Varejo
  •      6.   
    Saúde/farmacêutico
  •      7.   
    Serviços/consultoria
  •      8.   
    Telecomunicação
  •      9.   
    Entretenimento/mídia/hospedagem

Top
10 Ameaças Virtuais na América Latina

  •      1.   
    Trojan.Kelihos
  •      2.    Malicious.URL
  •      3.    DTI.Callback
  •      4.    Backdoor.Kelihos.F
  •      5.    Malware.ZerodayCallback
  •      6.    Backoor.H-worm
  •      7.    Trojan.Necurs
  •      8.    Trojan.Rerdom.A
  •      9.    Local.Infection
  •    10. Trojan.CryptoWall

Então, até a próxima
postagem pessoal! Espero que tenham gostado, pois eu gostei muito desta
experiência de colaboração. Na próxima postagem falaremos sobre os Princípios
da Segurança da Informação. Deixem seus comentários e observações. Gostaríamos
de saber o que acharam deste artigo introdutório.

Victor Melo de Araújo