VOCÊ PODE:
Licença
Copiar, distribuir, criar obras derivadas e exibir a obra.
COM AS SEGUINTES CONDIÇÕES:
Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto.
Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.
Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.
O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem au torização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen te. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador.
|02
Julho 2012 • segurancadigital.info
Editorial
No século passado seria impensável imaginar que viveríamos conectados a uma rede mundial carregando dispositivos onde poderíamos executar diversas funções. A geração atual (diferen te da minha) interage com o toque de um dedo em smartphones e tablets, se comunica diferente (a distância usando as redes soci ais), tem um assistente pessoal comandado por voz (Siri) e ainda pode usar somente gestos (Kinect). E estes são só alguns exemplos. A tecnologia tem mudado as nossas vidas e a computação em nuvem é a base dessa mudança, impulsionada pelas tecnologias de virtualização, é ela que permite que a informação esteja sem pre disponível onde quer que você esteja. E cada vez mais "ter ceirizamos" as nossas informações, armazenandoas em gigantescos e desconhecidos datacenters de empresas que ten tam a todo custo ganhar a nossa confiança. A "cloud compu ting", como é conhecida, ainda está em processo de amadurecimento e por isso muitas questões ainda geram incer teza, como disponibilidade e principalmente, segurança. A crescente adoção dos dispositivos móveis é a principal pre ocupação de gestores e profissionais de Segurança da Informa ção. Antes, havia um certo controle, pois os usuários utilizavam estações de trabalho corporativas, porém a realidade agora é ou tra e precisamos nos munir de ferramentas que ajudem a manter os dados, esse sim o ativo mais importante, de qualquer empre sa. É um caminho sem volta, incontrolável, que somos obrigados a conviver. Os usuários usam, compartilham, se expõem cada vez mais, sem se dar conta dos riscos para as suas próprias vidas e para o dia a dia das empresas. No passado, seria impensável que abriríamos mão de algo tão precioso, a nossa privacidade. Mas, não é isso que nós queremos mesmo sem saber?
DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info EDITORESCHEFE Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Karina M. Queiroz kmq@arya.com.br Nágila Magalhães nagilamagalhaes@gmail.com Fabrício Cristian Basto analistatiblog@gmail.com Davies Nassaro dnassaro@gmail.com Deivison Pinheiro Franco deivison.pfranco@gmail.com Walter Aranha Capanema contato@waltercapanema.com.br Marcelo Veloso marcelo.veloso@outlook.com Paulo Sergio Pagliusi pagliusi@procela.com.br REVISÃO Andressa Findeis findeis.andressa@gmail.com
Hey you, get off of my cloud!!
Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br
http://twitter.com/_SegDigital
Por Luiz Felipe Ferreira @lfferreiras
www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info
|03
Setembro 2012 • segurancadigital.info
Índice Artigo
Parceiros
Evolução, como fica a segurança?
05
4Linux
37
IPv6 e uma abordagem na segurança
08
AbleSecurity
38
Computação Forense com Software Livre
12
Brasport
39
HostDime Top 10 Mitos sobre Hospedagem de Sites Detonado!
41
Pensar fora da caixa – Às vezes, um olhar do lado de fora é tudo que precisamos!
16
BYOD: Uma análise jurídica
18
Análise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare (Final)
20
ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios
29
Novos Desafios da Segurança em Nuvem, com foco em BYOD e Mobilidade
32
Eventos
34
44
Kryptus
45
TreinaTux
35 Agenda TI Confira o calendário dos profissionais de TI
46 Notícias Fique informado quanto ao que acontece no mundo virtual.
47 Coluna do leitor Entre em contato e contribua com a revista
|04
Setembro 2012 • segurancadigital.info
Evolução, como fica a segurança?
Na prática Todos sabem que as empresas evoluíram rapida mente com o uso da Internet e consequentemente a facilidade de acesso tornou toda ação, rápida demais. Esse processo de crescimento rápido trouxe um des conforto geral que se resume na administração célere de enormes quantidades de informação e a sensação de descontrole é iminente. Quem aqui consegue ler todos os emails, notícias, recados da escola e ainda desenvolver obrigações em casa e no trabalho, todos os dias? Quem não tem nada pendente que atire a pri meira pedra. Naturalmente as empresas se movimentaram para criar silos de gestão, implantaram práticas de gover nança (muitas empresas utilizaram o Cobit e a ITIL como guias), treinaram colaboradores em normas de gestão como a ISO 9.000, ISO 20.000, entre outras, contrataram gestores de processos, auditoria, segu rança entre outros personagens de apoio. O esforço despendido pelas organizações na estru turação, manutenção e monitoração da operação do negócio gerou e ainda gera muito trabalho para todos os colaboradores. Atualmente ainda temos muitas empresas que exe cutam mudanças de ativos de infraestrutura de rede, como um roteador, em minutos, no final de semana, sem registro, sem aviso, sem que gestores estejam re
|05
almente sabendo do risco dessa indisponibilidade do negócio. Se transportarmos essa situação para em presas que possuem um processo de mudança bem estabelecido e com regras definidas e divulgadas o cenário da mudança pode ser assim: • Registro da mudança com 10 dias de antece dência; • Participação do solicitante no comitê de mu danças: mínimo de 2 horas de reunião; • Prática quase semelhante à de um SPAM com o envio de 15 emails, com dúvidas das pessoas que conhecem e sabem o que vai ocorrer na mudança e aquelas que resolveram questionar a sua capacida de de entendimento sobre o que será feito na mu dança; • Mínimo de 8 telefonemas explicando a mudan ça para outras pessoas do departamento de gestão de mudança, incidentes, problemas, relacionamen to com o cliente, secretária do chefe. Bom, o cenário é simplesmente caótico e no final das contas ninguém fez qualquer menção aos riscos do negócio. Claro, não posso deixar de mencionar que todos perguntaram do risco de fazer essa mudan ça no final de semana para VOCÊ, que disse que o
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
risco é baixo, claro. No fundo você acaba de aceitar o risco de indisponibilidade do negócio de uma empre sa que fatura mais de $50 milhões de reais por ano e é um funcionário que não tem qualquer responsabili dade pelo negócio e logo não responde legalmente pela organização. Isso nos remete ao processo de monitoração, um processo conhecido, porém mal utilizado. Esse termo não é exclusivo para NOC, COC, SOC, CIRT, CSIRT e afins; é uma ação natural de observação, análise, proteção. Neste caso típico de "gestão de mudança caótica" não houve o papel da monitoração do risco da indis ponibilidade do negócio. Parte dele ficará fora, mas quais são os processos e produtos interdependentes? As reuniões infinitas que julgam o solicitante que teve a humilde missão de endereçar a mudança e não tem qualquer conhecimento dos riscos aceitáveis pa ra o negócio, faz sentido? Tenho visto que grande maioria das empresas im plantam sistemas de monitoração nas áreas de crédi to, fraude, redes, telecom, segurança, callcenter, só ainda não ficou claro se gestores estão conseguindo usar os indicadores nas tomadas de decisão estratégi ca. Veja esse diálogo: Chefe, temos muito SPAM na organização e consultei o nosso especialista de se gurança da engenharia e este me passou a necessida de urgente da aquisição de um sistema antiSPAM, estou enviando anexado à mensagem 3 propostas pa ra sua avaliação e retorno. Urgente claro. Analisando o diálogo é notável a ausência de da dos que fizeram com que o funcionário identificasse o que chamou de "muito SPAM". O problema de SPAM realmente é muito sério e todos deveriam usar antiSPAM na rede ou nos softwares de email, mas... Analisando mais a fundo esse típico cenário que ocorre diariamente nas empresas me pergunto: O que exatamente significa adquirir um sistema de anti SPAM que custa mais de U$ 500.000,00 em caráter urgente? Este caso é comum nas empresas e deveria, depois de esclarecido a partir de dados concretos, ser tratado em reunião de comitê executivo e suportados pelo gestor da governança de segurança da informa ção (CISO, CSO, SO, etc.) para que a decisão seja tomada com base nos riscos de ter SPAMs demais na empresa. O ponto importante e um tanto peculiar de toda essa história é que na prática, gestores estão falhando no papel de controle de riscos e na monitoração do
|06
negócio. Hoje existem muitos fabricantes de ferramentas de gestão de risco (em minha opinião essas ferra mentas não fazem gestão, mas consolidam riscos e ajudam e muito na organização dos planos de ação). Vejam que ferramentas de monitoração de TI e dis ponibilidade do negócio estão sempre em alta. Outro ícone importante no cenário da gestão atual de TI e Segurança é hoje um sonho de consumo de todo gestor: O "dashboard". Vamos ver a definição de dashboard no wikidictionary da Wikipedia: O dashboard é um painel com informações im From dash ("to sprinkle; to splatter") +board for meaning 1. Possibly expanded meaning later. portantes para que a pessoa que o utiliza possa tomar decisões com base no que está monitorando, contro lando. Sabe o painel de um avião? É um dashboard para que o piloto saiba qual é o estado de operação do avião e que decisões, o piloto e o copiloto toma rão caso se deparem com eventos de anormalidade. Esse painel de monitoração deveria ser elaborado com base nas necessidades de controle da empresa e, portanto endereçar informações realmente relevantes e importantes. • Para avisar a equipe técnica de que algo está fora de operação ou sofrendo algum tipo de inter venção; • Para informar ameaças detectadas na infraes trutura de rede ou durante as análises de riscos; • Para demonstrar a evolução da gestão de segu rança e uso efetivo dos controles; • Para informar volume de vendas em tempo re al; • Para informar quais e quantos incidentes de se gurança estão ocorrendo na empresa; Podemos citar inúmeros indicadores de desempe nho, indicadores de objetivo alcançado (KGIs), indi cadores de produção, indicadores de crescimento, porém o desfecho deverá ser sempre o mesmo – in formações importantes para decisões importantes e não mais um grupo de informações não interpretadas. O processo de gestão dos riscos deve remeter à necessidade de ações do negócio em todos os mo mentos – seja durante a concepção de uma pequena empresa quanto na gestão de marketing de uma gran de corporação – minimamente vejo como pontos im Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
portantes: • Levantamento de ameaças e vulnerabilidades do negócio; • Definição de ações para mitigar os riscos de tectados e inerentes ao negócio; • Meios de monitoração e controle de riscos de tectados; • Opções de transferência de risco e a eliminação de riscos simples; • Insumos para mudanças de estratégia com base no entendimento real da exposição do negócio aos riscos; Quando juntamos o "conhecimento" dos riscos com a monitoração dos controles estamos de fato, re conhecendo como funciona o negócio da empresa e controlando desvios. Desconhecer os riscos não é o mesmo que "risco aceitável", com um ajuste aqui ou ali vai passar pela auditoria, mas e quanto custa man ter tudo isso? Basicamente a aplicabilidade dos processos de gestão dos incidentes, monitoração e gestão de riscos é mais simples do pode parecer, porém a aderência dos gestores aos processos e a conscientização de to dos os funcionários nas diretrizes e preocupações é precário. Institutos como o NIST National Institute of Standards and Technology, Cert Computer Emer gency Response Team e a ISSO International Orga nization for Standardization disponibilizam frameworks de implantação desde o estabelecimento do processo de gestão até detalhes de operação. Rela ciono abaixo alguns frameworks que considero im portantes para a construção dos processos: • Risk management framework (RMF) fre quently asked questionS (FAQ's), Roles and res ponsibilities & quick start guides (QSG's) do NIST http://ow.ly/dWPrW; 31000 Risk Management • ISO http://www.iso.org/iso/home/standards/iso31000.h tm da ISO; do cert.br • Podcast http://www.cert.org/podcast/show/leaders.html; • Governing for Enterprise Security Implementa tion Guide http://www.cert.org/governance/ges.html De fato, na teoria temos referências de excelente qualidade para seguir, portanto nos resta s e reeducar
|07
funcionários e gestores. O estudo está cada vez mais negligenciado pela “urgência” no atendimento de desejos corporativos, e de que adianta ter melhores práticas para seguir se apenas o funcionário mais interessado estuda, mas os aprovadores, gestores e funcionários envolvidos têm apenas uma leve ideia do que se trata? Não é suficiente. Lamentavelmente conhecimento e compromisso são cada vez mais raros nas empresas. Atualmente, com a quantidade de incidentes de segurança e inovações, a gestão do caos luta contra um crime “organizado”. Só consigo enxergar uma saída, treinar o exército corporativo, capacitar os generais, fortalecer as bases e comunicar a todos que a guerra já começou.
Mini curriculum A 18 anos na carreira de engenharia de redes, te lecomunicações e segurança da informação. Atuou em áreas operacionais, de projetos e gestão. Nos últi mos 8 anos pós formação acadêmica da graduação e pósgraduação desenvolveu projetos de engenharia de segurança, monitoração, resposta a incidentes, computação forense, gestão de segurança, gestão de continuidade de negócios e gestão de riscos de TI. Desde então vem trabalhando na condução do SGSI (sistema de gestão de segurança da informa ção), desde o estabelecimento das políticas corpora tivas e planos de conscientização até a definição de tecnologias, processos de resposta a incidentes de se gurança, auditoria, gestão de continuidade do negó cio, gestão de riscos de TI e computação forense. Atuou em grandes empresas como IBM, UOL, AT&T, PwC e Grupo Santander. Clientes e empresas clientes de computação forense são mantidas em si gilo e por esse motivo não poderão ser mencionadas. Em que situação seu exército se encontra? Karina M. Queiroz Profissional de Gestão de segurança da in formação e sócia da Arya Networks presta serviços de consultoria, desde o estabele cimento de políticas e planos de conscien tização até a definição de tecnologias, processos de resposta a incidentes, audito ria, compliance, continuidade do negócio, gestão de riscos e investigação. CISM | CISSP | ITIL v.3 Skype: karina.qrz Email: kmq@arya.com.br Site: www.arya.com.br
Setembro 2012 • segurancadigital.info
IPv6 e uma abordagem na segurança
B
em boa parte dos usuários e profissionais que fa zem parte da web já devem saber da mudança do atual IPv4 para o novo protocolo de comunica ção entre computadores, o chamado IPv6 (Internet Proto col version 6) que vem para suprir a escassez de endereços IPs disponíveis, devido o crescimento elevado de novos dispositivos que se conectam a Internet, princi palmente com a explosão dos dispositivos moveis.
O presente IPv4 possui um espaço de endereça mento de 32 bits, que equivale um pouco mais de 4 bilhões de endereços. Ele não foi projetado para suportar a grande rede que a internet se tornou e com isso houve a necessidade do seu sucessor, sendo este novo protocolo com espaço de endereçamento de 128 bits equivalendo absurdamente a um número de 340 decilhões, impossível de compara com a versão IPv4. Serão tantos endereços IP's disponíveis com a nova versão que além de mais maquinas conectadas, também irá possibilitar até adesão de produtos eletrô nicos conectados, como já foram visto por aí, irá possibilitar o crescimento da chamada "Internet das coisas", na qual geladeiras, microondas, carros entre outros conectados à rede, onde cada um deles terá seu próprio número de IP.
Diferenças entre IPv4 e IPv6:
|08
No IPv4, o campo de cabeçalho reservado para endereçamento possui um espaço de 32 bits. Isso possibilitar identificar pouco mais de 4 bilhões de dispositivos na Internet. Ex de endereço: 192.168.10.1 No IPv6, possui em seu cabeçalho um espaço de 128 bits, permitindo gerar 3,4x1038 endereços distintos, equivalente a 56 octilhões (5,6x1028) de endereços por ser humano na Terra. Ex de endereço: 2001:0DB8:AD1F:25E2:DFA1:F0C4:5311:84C1 Fonte: ipv6.br Mas depois desse breve inicio de conversa para se familiarizar, vamos ao ápice deste artigo. A grande preocupação das empresas e demais pessoas do ramo de tecnologia é a segurança do IPv6.? Vale ressaltar que este protocolo não é apenas um novo sistema de endereçamento e sim uma nova suíte de protocolos para Internet resolvendo vários dos problemas que surgiram com o crescimento da rede mundial, segurança entre eles. O IPv4 foi criado sem maiores preocupações com segurança. Inicialmente porque na época isso realmente não era um proble Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
ma. (BEZERRA, Marcelo, 2011)
Segurança no IPv6 A segurança dos dados sempre trará muitas dúvi das para as mentes das pessoas, como por exemplo: Será que terceiros acessam os meus dados sem o meu consentimento? É um erro afirmar que algo é 100% seguro. O mo tivo é porque sempre há algum aspecto esquecido, negligenciado ou desconhecido sobre o assunto. E novas técnicas invasão são criadas a cada dia infeliz mente. O IPv6 além de suprir a necessidade de mais endereços IP na rede, não teve o pensamento em segurança negligenciado. Mas quais são essas novidades que o IPv6 trará para os usuários?
IPSec Uma das grandes novidades em destaque para re solver possíveis problemas a respeito nesta versão, é a integração do protocolo de segurança IP conhecido simplesmente pela sigla IPSec de uso obrigatório ori ginalmente especificado na RFC2401 em 1998 e pos teriormente atualizado pelo RFC4301 em 2005, pelo qual possibilita a criptografia e autenticação de paco tes na camada de rede, fornecendo uma solução fim afim, garantindo a confidencialidade, integridade e autenticidade o que promove uma maior segurança dos dados em trânsito. E este protocolo considerado como um framework de segurança possui dois cabeçalhos: Authentication Header (AH), utilizado para ga rantir a autenticação; Encapsulating Security Payload, (ESP) utiliza do para prover confidencialidade dos pacotes trans mitidos. E além de gerar e gerenciar chaves criptográficas de segurança por meio do protocolo Internet Key Exchange (IKE) No caso do IPv4 já está disponível o IPSec de mo do opcional, entretanto, seu mecanismo de autentica ção não pode ser utilizado em conexões que estejam utilizando o NAT (Network Address Translation), que “esconde” o endereço IP original do emissor dos pacotes impedindo então sua identificação. No IPv6 o uso do IPSec se torna mais fácil.
Embora seu funcionamento seja praticamente o mesmo nas duas versões do protocolo IP, no IPv6: Não há necessidade de se utilizar NAT, permi tindo que o IPSec funcione sem restrições; Os mecanismos de autenticação e encapsula mento do IPSec fazem parte do protocolo; Seu suporte é obrigatório em todos os nós, o que não ocorre no IPv4. Fonte: ipv6.br Nota importante: Embora o uso do IPSec seja o obrigatório no IPv6, para sua efetiva utilização, ele deve ser utilizado em cada nó na rede pelos adminis tradores ou caberá a cada aplicação definir a utiliza ção do IPSec. Mas voltando ao assunto do IPv4, sem IPSec a se gurança os dados em nível de rede podem ser facil mente capturados, por sniffers (scanners de rede), que são programas destinados à captura de datagra mas que estão trafegando na rede, permitindo a visu alização dos dados. Além disso, os sistemas podem sofrer ataques, que são acessos indevidos ao sistema, em que o invasor poderá capturar, alterar ou destruir as informações [SILVA, 2003]. Um bom exemplo de sniffer é o Wireshark, co nhecido anteriormente como o famoso Ethereal, pos sibilitando captura do tráfego da rede e visualizar informações desde comandos digitados, como as tão sonhadas senhas, durante, por exemplo, em uma co nexão FTP no caso se fazendo da utilização do IPV4, enquanto que no IPV6 essas informações ficam invi síveis.
ICMPv6 (Internet Control Message Proto col) O ICMPv6 é mais um utilitário com versão atuali zada do protocolo ICMPv4 para ser utilizado em conjunto com o IPv6, sendo parte fundamental de sua arquitetura. No qual assume funções de outros proto colos, existentes isoladamente no IPv4. Tal mudança implementada com o simples intuito de reduzir a multiplicidade de protocolos, que é prejudicial por piorar a coerência e aumentar o tamanho das imple mentações.
Neighbor Discovery Protocol (NDP) NDP Protocolo de descoberta de vizinhança res
|09
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
Varredura de Endereços (Scanning)
Figura 1 Falhas,ataques e defesas
Tornouse um pouco mais difícil, mas não impos sível, pois com uma mascara padrão /64, são possí veis 264 endereços por subrede. Portanto se fosse possível percorrer um milhão de endereços por se gundo, seria necessário aproximadamente 540.000 anos para percorrer toda subrede. Entretanto não se pode negar que para cada método de segurança que é criado existem já indivíduos pensando em formas de burlar.
|10
Neste caso de Scanning já existem alguns méto dos para conseguir potenciais vitimas, se tratando a respeito de ataques. Worms que utilizam varreduras na era IPv4 para infectar outros dispositivos, terão dificuldades para continuar se propagando toda a subrede.
Cuidados Transição do IPv4 para IPv6 A Transição do IPv4 para IPv6 pode ocasionar aparecimento de brechas de segurança caso: Uma rede IPv4 ignore a existência do IPv6, pois computadores e equipamentos que suportam IPv6 podem se comunicar em IPv6 evitando a segurança implementada para IPv4. Túneis automáticos são ignorados e a rede IPv4 não trata pacotes encapsulados, permitindo um ata cante acessar a rede e com isso evitando a segurança IPv4 ou um usuário dentro da rede acessar conteúdo ou redes que seriam bloqueadas se o acesso fosse via IPv4. Técnicas de transição pode ser alvo de ataques. No uso da técnica 6to4 e Teredo para esse fim, por exemplo, podem apresentar riscos a segurança, pois essas técnicas dependem de servidores públicos para a criação do túnel que transporta IPv6 dentro de IPv4. Logo então inseguro.
Falhas, ataques e defesas no IPv6
Fonte: ipv6.br
ponsável por resolver os problemas de interação en tre nós vizinhos em uma rede. Utilizado para verificar a presença de outros nós, determinar os endereços de seus vizinhos, encontrar roteadores e atualizar informações sobre rotas. Atuando sobre dois aspectos na comunicação IPv6, a autoconfiguração de nós e a transmissão de pacotes. Nota: As mensagens do NDP são mensagens ICMPv6, que não oferecem proteção propriamente dita, pois não são protegidas pelo IPSec. E, portanto é sujeito a ataques que podem redirecionar o fluxo dos pacotes IP para lugares inconvenientes. Para resolver esses problemas o IETF criou o gru po de trabalho chamado SEcuring Neighbor Disco very (SEND), um suporte para segurança do protocolo de descoberta de vizinhança.
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
Conclusão É certo que o IPv6 veio para ficar para maior compatibilidade do crescimento da Internet. Em alguns lugares o estoque de IP’s já se esgotou e o novo protocolo já se faz presente. Não há como evitar sua adoção e saber proteger uma rede de maneira correta é extremamente importante, onde as informações que nela trafegam é o bem mais valioso. Esta nova versão do protocolo veio para melhorar a
segurança, mas é claro que ela não vai solucionar todos os problemas. Cabe agora aos profissionais de segurança e redes aprenderem (e administrarem) o novo protocolo e atentar aos mecanismos de transição, para que então o IPv6 não seja canal de abertura de novos ataques e sim uma segurança a mais na rede, pois, foi para este propósito que ele também foi criado.
Referências: IPv6.br. A nova geração do Protocolo Internet. Disponível em: <http:// http://ipv6.br/> BEZERRA, Marcelo. Segurança Digital. Disponível em: < http://segdigital.blogspot.com.br/2011/05/segurancaemipv6parte2de4.html> SILVA, Lino Sarlo – Virtual Private Network (VPN), ED. Novatec, 2003. GODINHO JR, Luis; SOUSA, Jarbas Pereira Lopes; NUNES, Robert Mady, BOGO, Madianita. Análise da Segurança em Redes Puramente Ipv6. In: VII Encontro de Estudantes de Informática do Estado do Tocantins, 2005, Palmas. Anais, Palmas: 2005.
Nágila Magalhães Graduada em Tecnologia em Redes de Computadores pela FCAT e Pós graduanda em Segurança Computacional pelo IESAM. Apaixonada por tecnologia e ciberespaço, tenho em especial conhecimento nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colu nista na área computacional.. Email: nagilamagalhaes@gmail.com Twitter: @netnagila
|11
Setembro 2012 • segurancadigital.info
Computação Forense com Software Livre O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões, por is so todo investimento em segurança é necessário. As empresas precisam valorizar os profissionais de se gurança da informação, pois eles cuidam do bem mais importante que possuem. A área de segurança da informação é uma área promissora, com a evolução da internet, com certeza teremos muitos problemas e incidentes, que incluem: vírus, roubo de informações, ataques coordenados de crackers e muitos mais. As estatísticas não são muito favoráveis, com relação a vírus e incidentes de segu rança, segundo cert.br.(Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). As empresas precisam proteger sempre seus ativos de informação para evitar problemas e prejuízos. O bem mais valioso que as empresas possuem são as infor mações que fazem ela funcionar, gerar receita e lu cratividade. Neste ano ocorreram vários ataques cibernéticos a portais do governo, serviços prioritários e empresas tradicionais, sendo os mais recentes, ataque e roubo de senhas de serviços, tais como Linkedin, na qual foram decifradas 6 milhões de senhas dos usuários (dados não oficiais) e também ocorreu roubos de in formações da Rede Social Facebook. Quando um ser
|12
viço nasce, ele pode ser 100% seguro, mas com a evolução das técnicas de invasão, logo tronase vul nerável, por isso é muito importante investir em pro teção e segurança para suas informações e sistemas. Existem hoje, diversos sistemas operacionais ba seados em Linux e Software Livre, desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da Informação e Computação Forense. Os sistemas possuem ferramentas e aplicativos exclusi vos para realização de testes, análises e atividades da área, tais como: recuperação de arquivos apagados, analisadores de logs do sistema e programas, enge nharia reversa, testes de invasão, vasculhador de ta refas executadas no sistema, analisador de protocolos enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre outras coisas. Nesta era, em que estamos conectados em todos os lugares, os problemas e incidentes tendem a au mentar, o mercado de segurança da informação é promissor, por isso busque especialização nesta área, com certeza terá retorno rápido. Aproveite para co nhecer alguns sistemas operacionais baseados em Li nux e Software Livre, que reúnem ferramentas e um conjunto de aplicativos customizados para profissio nais da área de segurança da informação, que traba lham com Forense Computacional. São Eles:
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
FDTK – Forense Digital ToolKit Distribuição Linux especializada em segurança da informação e computação forense, baseada em Ubun tu, tendo como vantagem principal ser toda em portu guês. O projeto possui um kit com mais de 100 ferra mentas utilizada para realização de testes, coleta, análises em forense computacional. Possui uma in terface gráfica amigável, está em constante desenvol vimento, para que o usuário possa contar com ferramentas forenses de qualidade, sem custo, tudo em português. O usuário pode baixar a distribuição e instalar na sua máquina ou utilizar como LIVE CD, podendo ro dar em qualquer estação com drive de CD/DVD sem a necessidade de instalação no Disco Rígido. Atual mente ela está na versão 3.0 sempre atualizada pela comunidade Linux e Software Livre.
Informações e download: http://www.backtracklinux.org/
CAINE Distribuição Linux especializada em segurança da informação e computação forense, é baseada no Ubuntu, a distribuição CAINE (Computer Aided In vestigative Environment) é um projeto de forense di gital baseado em Linux e Software Livre. Com uma interface amigável e visual, o sistema possui um pa cote de aplicativos para realização de investigações forense que vão desde o básico ao avançado. O sistema pode ser utilizado para diversas avalia ções, confira a lista de aplicativos do sistema. http://www.cainelive.net/page11/page11.html
Informações e download: http://fdtk.com.br/
BACKTRACK Distribuição Linux com foco em segurança da in formação e computação forense, o BackTrack possui um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de segu rança. O sistema é destinado a todos os públicos, dos profissionais de segurança mais experientes aos no vatos. Com ótimos recursos, o sistema pode ser utili zado para análises diversas, avaliação de aplicação web e sistemas, aprender sobre segurança da infor mação, estudos de engenharia social, realizar testes de penetração e vários outros aplicativos.
|13
Informações e download: http://www.cainelive.net/
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
SANTOKU Distribuição Japonesa Linux especializada em se gurança da informação e computação forense, com foco em segurança mobile, engenharia reversa e aná lises de malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e tablets. Atualmente as pragas virtuais para smartphones e tablets crescem num ritmo acelerado, os recursos contidos nessa distribuição são muito úteis para reali zação de testes e experiências em segurança móbile.
Informações e download: http://www.deftlinux.net/
BACKBOX
Informações e download: https://santokulinux.com/
Distribuição Linux, baseada em Ubuntu, especia lizada em segurança da informação e computação fo rense. Foi desenvolvida para realização de testes de pe netração e avaliações de segurança. O projeto oferece ao usuário as melhores ferramentas para análises, testes e investigações forenses, além de ser rápida, fácil de usar e fornecer um ambiente completo, a dis tribuição está sempre atualizada para garantir quali dade e evolução constante.
DEFT Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da informação e compu tação forense, com kernel na versão atual 3. Um sis tema profissional, estável com uma excelente conjunto de ferramentas para realização de análises forenses, inteligência cibernética e realização de tes tes. A distribuição possui cerca de 3 GB de tamanho, com um kit de ferramentas chamado de DART (Di gital Advanced Response Toolkit Ferramenta de Resposta Digital Avançada). O ambiente gráfico é o LXDE, porém no terminal é mais rápido a realização das tarefas. O usuário pode usar o sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas ferramentas, citando as principais: descoberta de informações de rede, inclu sive wireless, análise de aplicações web, coleta de in formações em redes sociais, proteção de identidade, clonagem de disco e recuperação de arquivos. A equipe mantenedora do sistema disponibiliza um manual completo para estudos.
|14
Informações e download: http://www.backbox.org/
HELIX Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e compu tação forense, possui uma gama de ferramentas dedi cada a investigações e estudos da ciência da computação forense.
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
para análise de documentos maliciosos e utilitários para a engenharia reversa de malware através de aná lise forense de memória. Informações e download: http://zeltser.com/remnux/
Informações e download: http://www.efense.com/
REMnux Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e compu tação forense, utilizada por analistas de segurança na criação e administração de malwares para engenharia reversa. Engenharia reversa, no caso, é utilizada para criar novas pragas para combater as existentes. Os profissionais criam uma nova amostra de malware em laboratório para infectar o sistema que possui o malware em questão e direciona as conexões potencialmente maliciosas para o sistema REMnux, que estará escutando e analisando o software malici oso. O que ocorre na verdade é a engenharia reversa, que estuda e entende como funciona o praga para combatêla.
Não tive oportunidade de testar todos os sistemas, somente algumas distribuições. É necessário um es tudo prévio para analisar qual sistema é melhor para a atividade a ser exercida. Esses sistemas são destinados a profissionais, é preciso ter ética para realização das atividades foren ses, tanto com os sistemas citados neste artigo, quan to em qualquer recurso existente, para a segurança e proteção de todos. Não utilize os recursos para prática de crimes. Hacker não Cracker! Bons estudos e sucesso!
Fabrício Cristian Basto
Administrador, Analista de Sistemas, fissurado em tecnologia, segurança da informação, software livre, blogs, tudo que gera conhecimento. CRA/ES Nº 9009
O kit de ferramentas do sistema inclui programas
|15
Twitter: @analistati Email: analistatiblog@gmail.com Site: http://analistati.com/
Setembro 2012 • segurancadigital.info
Pensar fora da caixa – Às vezes, um olhar do lado de fora é tudo que precisamos! O saber adquirido ao longo do tempo, por horas e horas de estudos em livros, manuais e páginas web, juntamente com o conhecimento do ambiente de tra balho e do “modus operandi” dos usuários constitui uma importante ferramenta no arsenal de trabalho dos membros de qualquer equipe profissional de Tec nologia da Informação(TI). Esse conhecimento en curta espaços e períodos, tornando a solução de problemas e o desenvolvimento de serviços persona lizados muita mais dinâmicos e com uma enorme economia de tempo e até de dinheiro. Acontece que, da mesma maneira que essa imer são no ambiente de TI da empresa pode ser uma van tagem, ela pode tornarse um empecilho na gerenciamento de problemas e desenvolvimento de soluções otimizadas. Quanto mais tempo se passa imerso em uma realidade, mais condicionado a ela se fica e mais difícil é enxergar problemas que muitas vezes podem ser considerados corriqueiros e de fácil solução depois que os entendemos. Esse contexto é o que pode ser chamado de “Pen sar Dentro da Caixa”. Esse termo pode ser encontra do em vários contextos, até mesmo muito distante dos da área de TI e envolve o modo automático que passamos a tomar algumas atitudes depois de algum tempo convivendo com uma certa realidade, onde ad quirimos vícios que podem até serem aliados em cer
|16
tos momentos, mas quando necessitamos de uma ideia diferente, ou um olhar de outro ângulo, esbar ramos nas dimensões reduzidas que nossa percepção alcança quando ficamos condicionados a um mesmo ambiente. Em algumas ocasiões ficamos tão compe netrados na solução de um problema que passamos a não prestar atenção em muitos fatores que poderiam ser uteis.
Muitas vezes é necessário olhar o problema por fora, como se não soubéssemos tanto a respeito dele, como se fossemos uma pessoa totalmente leiga e quiséssemos ajudar a solucionalo, como se fosse a primeira vez que se deparássemos com tal empreita, ou seja, pensar fora do perímetro da empresa. Essa
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
atitude nem sempre é fácil e requer treino, disciplina e até uma certa dose de humildade, para que se possa entender como pensaria alguém que não conhece na da sobre um software e necessita utilizalo, ou como age um estudante iniciante que acessa a web e conse gue diversos scripts que demonstram como invadir computadores e decidi testalos na empresa que se quer proteger. Para ilustrar a situação vou dar um exemplo práti co, que ocorre inúmeras vezes na maioria das empre sa. Uma organização qualquer, preocupada com a segurança de suas informações, que são um dos seus bens mais valiosos, contrata então um profissional ou um grupo de profissionais para gerencialas. Esses competentes profissionais, depois de muito discuti rem, desenvolvem então uma “Política de Segurança da Informação’ embasada nas mais atualizadas e re conhecidas normas sobre o assunto. Em seguida par tem para a implantação e para a fase de testes. A eficácia da Política fica então comprovada, com o respaldo de relatórios e mais relatórios contendo to dos os testes e seus resultados positivos. A diretoria da empresa fica satisfeitos com os resultados obtidos através desses testes que foram efetuados pela pró pria equipe de Segurança da Informação e a empresa passa a dormir mais tranquila, segura de que suas in formações estão a salvo de qualquer perigo. Passado algum tempo, descobrese que arquivos importantíssimos, contendo protótipos de projetos re volucionários, foram roubados dos servidores dessa corporação e ainda por cima caíram nas mãos de gru pos concorrentes. A alta gerencia então toma a decisão de demitir a equipe de Segurança da Informação, gasta novamen te uma grande quantia de dinheiro, investe em uma nova equipe, novos equipamentos de segurança e volta novamente a ter aquela falsa sensação de segu rança. Perceberam onde está a falha nesse processo. A mesma equipe responsável por desenvolver a Política de Segurança de Informação da Empresa foi a responsável por testála e assegurar a sua eficiên cia. Como os profissionais envolvidos no projeto já conheciam a rotina da empresa, conheciam também seus pontos fracos e fortes com relação a segurança de suas informações, não se preocupando em procu rar novas brechas ou falhas de segurança. Tudo ocor reu bem porque eles sabiam exatamente o que podia dar errada e fizeram o possível para que isso não acontecesse. Mas se esqueceram de pensar um pouco
|17
mais além, de tentar pensar como um invasor proce deria se tivesse a intenção de roubar suas informa ções. Essa falha ocorre com uma enorme incidência em todas as corporações, acarretando um outro risco, que considero também um dos maiores problemas das empresas que possuem políticas de segurança de suas informações, que é a falsa sensação de segurança, mas esse assunto será tratado em um outro momento, mais oportuno, pois agora o foco é o pensamento restrito e condicionado. Como demonstrei, pensar fora da caixa, ou seja, observar o problema por outro ângulo nem sempre é fácil e exige treino e uma visão abstrata do negócio. Mesmo assim, encontrar falhas em nossas decisões é sempre muito difícil. Qual a solução para o problema então? Nesse caso especifico, acho que o correto a fazer é a contratação de uma empresa para realização de uma auditoria independente. Essa atitude pode pare cer uma afronta a equipe de TI num primeiro mo mento e ser vista até mesmo com maus olhos pelo corpo diretor da empresa, que além do valor gasto com a equipe de TI tem que gastar outro tanto com a auditoria externa, porém essa é a melhor saída para garantir que as informações estejam num grau ade quado de segurança. Voltando ao tema do artigo, “Pensar fora da cai xa”, é uma atitude que exija um esforço para que não se caia na mesmice do cotidiano e se passe a acredi tar que as possibilidades se resumem aquelas que es tão na frente de nossos olhos. Quando se depararem com um problema ou tiverem que criar uma solução, procurem pensar em diferentes direções, com certeza isso os ajudara a enxergar mais longe e descobrir no vas possibilidades. Davies Nassaro Técnico em Telecomunicações [Centro Paulo Souza 2000] e Informática [Escolas SENAC 2002], Li cenciado em Computação [Faculdades COC 2007 Menção honrosa pelo Traba lho de Conclusão de Curso intitulado "Tec nologia e Acessibilidade para Cegos"] e Especialista em Segurança de Redes de Computadores [Instituto AVM 2012, com estudos focados nos crimes de Engenharia Social]. Site/Blog: http://www.invasaoproibida.wordpress.com Email: dnassaro@gmail.com Twitter: @invasaoproibida
Setembro 2012 • segurancadigital.info
BYOD: Uma análise jurídica A popularização dos dispositivos móveis, como os smartphones, tablets e notebooks modificou sen sivelmente as relações humanas e profissionais, es tabelecendo um contato constate do indivíduo com os dispositivos tecnológicos. Esta necessidade constante levou a adoção, por parte das empresas, de um sistema chamado de bring your own device – BYOD (“leve o seu pró prio dispositivo”). O BYOD nada mais é do que uma cláusula con tratual, tácita ou expressa, na qual o empregador permite ao empregado a utilização de seu dispositi vo tecnológico pessoal como instrumento de traba lho, acessando dados e programas da empresa, dentro ou fora do local da prestação de serviço. Se portanto, temos a utilização de um bem parti cular do empregado na realização de sua atividade profissional, poderia o empregador fiscalizar e mo nitorar esse instrumento, por meio do seu poder di retivo, previsto no art. 2o da Consolidação das Leis do Trabalho – CLT, lei que regula a relação de em prego: “Considerase empregador a empresa, indivi dual ou coletiva, que, assumindo os riscos da atividade econômica, admite, assalaria e dirige a prestação pessoal de serviço.” (grifei), A jurisprudência do Tribunal Superior do Trabalho já se posicionou pela possibilidade de mo
|18
nitoramento e fiscalização do computador quando este pertencer ao empregador, especialmente no que se refere ao email corporativo: “Entendo que se impõe um tratamento diverso ao email corporativo, instrumento de comunica ção virtual, mediante o qual o empregado se utili za de terminal de computador, de provedor da empresa e de endereço eletrônico, meios disponi bilizados pela própria empresa. Tem por finalidade o tráfego de mensagens de cunho estritamente profissional, com natureza jurídica equivalente a de uma ferramenta de trabalho entregue pelo em pregador ao empregado para a realização de suas atividades, visando exclusivamente os interesses da empresa. É sabido por todos que o email corporativo tem por finalidade enviar e receber matérias e as suntos afetos única e exclusivamente ao serviço, sendo por isso considerado uma ferramenta eletrô nica de trabalho. Neste caso, privilegiase o exer cício do direito de propriedade do empregador sobre o computador, capaz de acessar à INTER NET, e sobre o próprio provedor, que, na maioria dos casos, é da própria empresa. Dito isto, tem o empregador o direito de moni torar e rastrear a atividade do empregado no ambi
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
ente de trabalho, de forma a checar suas mensa gens, tanto do ponto de vista formal quanto sob o ângulo material ou de conteúdo, pois se mal utili zado o correio eletrônico poderá colocar em risco a sua imagem” (grifei). TSTAIRR58941 85.2007.5.01.0052. Contudo, não há posicionamento judicial, e nem previsão legal, quando o instrumento a ser fiscalizado pertencer ao empregado. Poderia um documento interno de politica de segurança da informação (PSI) suprir esta omissão e determinar que, se o empregado utilizar seu equipamento pessoal , deverá permitir a sua fiscalização pelo empregador? Ou seja, poderia uma norma interna determinaR a renúncia da privacidade e da intimidade do trabalhador? Os estudiosos do Direito do Trabalho consideram nula, ou seja, sem validade jurídica, qualquer norma contratual que implique a renúncia dos direitos do empregado, que é a parte mais frágil da relação de trabalho. Mas, se se admitir a fiscalização e o monitora mento do dispositivo do empregado, haverá a possi bilidade técnica de se resguardar os dados e programas pessoais do empregado? Ou, ainda, poderá o empregador verificar, também, se o dispositivo do empregado utiliza programas piratas, ou se sofreu algum desbloqueio (jailbreak), justificado por razões de segurança? Além disso, o BYOD não implica no uso do dis positivo móvel apenas no horário e local de traba lho, o que poderá ensejar, por exemplo, o direito ao pagamento de horas extras e adicional noturno ao empregado que exceder a sua jornada de trabalho contratual e, respectivamente, laborar após as 22 horas. Parece que a solução jurídica mais correta é per mitir o BYOD para aqueles cargos em que, por ra zões de maior confiança ou de impossibilidade de fiscalização pelo empregador, não estão sujeitos aos limites em sua jornada de trabalho. Tais cargos es tão previstos no art. 62 da CLT: Art. 62 Não são abrangidos pelo regime previsto neste capítulo: (i.e., que trata dos limites da jornada de trabalho)
externa incompatível com a fixação de horário de trabalho, devendo tal condição ser anotada na Carteira de Trabalho e Previdência Social e no registro de empregados; II os gerentes, assim considerados os exercentes de cargos de gestão, aos quais se equiparam, para efeito do disposto neste artigo, os diretores e chefes de departamento ou filial. Parágrafo único O regime previsto neste capítulo será aplicável aos empregados mencionados no inciso II deste artigo, quando o salário do cargo de confiança, compreendendo a gratificação de função, se houver, for inferior ao valor do respectivo salário efetivo acrescido de 40% (quarenta por cento)”. O emprego do BYOD com o monitoramento e fiscalização por parte do empregador é uma situação traz insegurança jurídica, pois, por ser uma prática nova, não se sabe ainda como os tribunais e os doutrinadores vão compreender. Contudo, vêse como seguras duas situações: a) o emprego do BYOD pela empresa, sem o monitoramento e a fiscalização, mas com uma política de uso e de conscientização da segurança; b) a utilização do chamado BYOD reverso, ou seja, o equipamento é fornecido pela empresa para o trabalho e, eventualmente, para o uso pessoal do empregado. Nesse caso, e isso dará margem a polêmicas, se admitirá o monitoramento. Portanto, estamos diante de um novo sistema de trabalho, com novas propostas e desafios. Devese, sem dúvida, pensar na produtividade, sem suprimir a proteção da privacidade e da intimidade do trabalhador.
Walter Aranha Capanema
Advogado. Professor Coordenador do Curso de Direito Eletrônico da Escola da Magistratura do Rio de Janeiro.
Twitter: waltercapanema Email: contato@waltercapanema.com.br Site: waltercapanema.com.br
I os empregados que exercem atividade
|19
Setembro 2012 • segurancadigital.info
Análise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare
Parte 2 (Final)
III Análise Forense Computacional de Ambientes Virtuais In Vivo ou Live Analy sis de Ambientes Virtuais Por um longo tempo, a análise forense computaci onal utilizava apenas unidades estáticas ou “mortas”. De fato, em muitos casos, esse ainda é o principal método para se encontrar evidências. Nesse tipo de análise forense, muitas vezes as evidências encontra das são escassas e, enquanto a tecnologia avança, a análise forense computacional de ambientes virtuais mortos (desligados) confrontase com desafios como redes mais complexas, maior capacidade de armaze namento e criptografia. Com o aumento da quantidade de evidências recu peráveis, as investigações do tipo in vivo, ou live, es tão se tornando cada vez mais comuns. De fato, muitas organizações de grande porte, especialmente as vinculadas ao governo, alteraram a maior parte de seus tipos de análise forense computacional para a li ve analysis, já que em uma grande empresa, preser vação de dados pode ser bastante onerosa, uma vez que as evidências obtidas das imagens completas dos discos de vários funcionários podem exigir vários te rabytes de armazenamento. Contudo, em determina das situações pode não haver escolha, mas para fazer uma investigação do tipo live, tornase necessário um sistema de arquivos distribuídos ou grandes áreas de
|20
armazenamento de dados. Ante ao exposto, recomendase a cópia (não ima gem) dos arquivos que montam e carregam a máqui na virtual suspeita, em mídias que possam ser asseguradas pela cadeia de custódia. Essa abordagem pode ser empregada para qualquer caso exceto aque les em que o servidor de virtualização está sendo usada para influenciar ou corromper as VMs. O arquivo de imagem usado pela VM contém todo o espaço alocado e não alocado na máquina físico, logo se a atividade suspeita estiver no computador original, cópias do arquivo de imagem da máquina virtual, bem como os arquivos associados a ela são suficientes para a investigação forense. No entanto, se houver qualquer possibilidade de corrompimento ou influência externa à VM afetar seus arquivos, es tes devem ser visualizados em vez de copiados. Con tudo, se o tamanho de alocação da máquina virtual (tamanho do arquivo que monta a máquina virtual) diminuir ao longo do tempo, pode ser que não seja necessário mais do que apenas o sistema de arquivos existentes na VM (VMFS). Estes aspectos ainda es tão sendo debatidos por profissionais da computação forense e dependem das especificidades de cada ca so. Como há uma grande mudança no cenário da computação atual, com a TI verde impulsionando ca Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
da vez mais o conceito e a implementação da conso lidação de hardware, as organizações têm, cada vez mais, migrado para ambientes virtuais, o que propicia chances para se proceder a análises forenses compu tacionais do tipo live neste tipo de ambientes. Entre tanto, há algumas questões específicas relacionadas com esses ambientes que um perito deve estar ciente de quando da condução de uma análise in vivo dos mesmos.
3.1 Fundamentos Todas as análises forenses computacionais exigem que as metodologias utilizadas para coletar evidênci as sejam sólidas e assegurem que as provas serão ad missíveis em um tribunal. Metodologias forenses computacionais também são baseadas em verificação e repetição. Embora a forense computacional in vivo, ou live, esteja se tornando mais aceitável, ainda exis tem algumas questões relacionadas com este tipo de técnica. A questão principal é que investigações do ti po live mudam o estado do sistema investigado e seus resultados não podem ser repetidos. Qualquer mudança do estado do sistema e inconsistências de verificação e repetição das evidências vai de encon tro aos princípios aceitos no meio da forense compu tacional. Até agora, grandes avanços têm sido feitos em relação às limitações impostas na admissibilidade de evidências coletadas através da técnica do tipo li ve, mas este tipo de coleta empregada em ambientes virtuais pode ser um pouco mais complicado. Análises forenses computacionais do tipo live aju dam a proteger evidências digitais sensíveis e facil mente alteráveis, podendo ser realizadas de diferentes maneiras. Muitos pacotes comerciais para forense computacional oferecem a capacidade de controle e monitoramento do ambiente de trabalho (virtualizado ou não). Um pacote pode ser adquirido e os dados que trafegam no ambiente podem ser cole tados em tempo real. Outros pacotes permitem coleta e análise in vivo através de navegadores web. Esses aplicativos oferecem os mesmos recursos que um ap plet instalado, mas são usados sob demanda ou em um incidente notificado pelo monitoramento. Final mente, há a resposta da primeira análise, onde as co letas in vivo são feitas mediante a notificação de um incidente. Independentemente do método utilizado para a co leta e análise, o princípio da análise forense computa cional in vivo é baseado na premissa da coleta de dados a partir de um sistema em execução (ligado) a
|21
fim de se recolher informações pertinentes e que não estejam disponíveis em análises do tipo dead (com o ambiente desligado). Dessa forma, as informações recolhidas nessa técnica normalmente consistem do sistema de dados voláteis, tais como memória, apli cações e processos em execução, bem como portas abertas, soquetes e conexões ativas. Ao criar uma imagem forense é necessário se pro var que a imagem é uma cópia exata, ou documentar e explicar todas e quaisquer diferenças e como ocor reram. Há a possibilidade de se criar uma imagem forense e, em seguida, convertêla ou copiála em um sistema virtual. Contudo, isso se torna um problema quando o caso sob investigação demanda a análise de muitos discos. Porém, já há um novo formato de imagem chamado Advanced Forensic Format que foi projetado para ajudar o perito a lidar com unidades de disco e volume de dados muito grandes, através da alocação de metadados sobre uma unidade com os dados do disco e segmentandoa em partes gerenciá veis. Como dito antes, a forense computacional tra dicional obriga a criação de uma imagem completa do disco, tornando quase impossível de se realizar uma perícia em terabytes, ou mais, de dados. Para resolver esse tipo de situação, BAWCOM (2009) propõe a utilização de duas técnicas a Live Response e a Live Acquisition. Na primeira, o perito acessa um sistema em execução e coleta informações voláteis e não voláteis, sendo que uma das formas mais práticas para se guardar as informações volá teis, além da utilização de ferramentas comerciais, é o uso de um sistema remoto forense, um CD/DVD inicializável, ou um cartão USB. Na segunda, o peri to cria uma imagem do disco rígido enquanto o siste ma ainda está em execução. Estas duas técnicas desafiam as melhores práticas para resolver proble mas que não podem ser resolvidos usandose as téc nicas tradicionais de computação forense. Ante ao exposto, há três regras que devem ser ob servadas para se garantir a confiabilidade de evidên cias digitais: devem ser produzidas, mantidas e utilizadas em um ambiente normal; serem autentica das por um perito; e atender à chamada “regra da melhor evidência”, ou seja, o que foi produzido deve ser a melhor evidência disponível e não um substitu to para as evidências oferecidas. A RFC 3227 traz orientações e considerações le gais para a coleta e arquivamento de evidências e de fine as melhores práticas para resposta a um incidente de segurança, descrevendo os procedimen Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
tos de coleta em ordem de volatilidade, do mais volá til para o menos volátil e preconiza que uma evidên cia digital deve ser: Admissível precisa obedecer a normas legais; Autêntica deve ser probatória para o incidente; Completa deve contar a história toda e não apenas uma determinada perspectiva; Confiável não deve haver dúvidas sobre a autenticidade e a veracidade de sua coleta; Acreditável deve ser facilmente crível e compreensível. Para fins de atendimento eficiente dessas regras e orientações, bem como para a redução dos desafios inerentes às ferramentas forenses, o NIST produziu um conjunto de especificações de teste (especifica ções de ferramentas para imagens digitais), destina dos a serem utilizados na validação de ferramentas usadas para criar imagens forenses. Essas especifica ções garantem que as ferramentas para a criação de imagens de discos produzam imagens forenses con fiáveis. Como os ambientes virtuais estão se tornando ca da vez mais comuns, em uma análise forense compu tacional in vivo, dependendo das ferramentas utilizadas, o ambiente virtual pode ou não ser captu rado e analisado de modo a atender o que preconiza a RFC 3227. Para isso, imaginese um cenário no qual uma organização utiliza uma solução empresarial que inclui uma ferramenta que monitora as estações de trabalho de seus usuários através de um programa de monitoração instalado. A intenção desse ambiente é fornecer aos seus administradores a capacidade de monitorar as máquinas da rede, o que pode ser feito em modo silencioso colocandose os programas de monitoramento em um servidor sem se alertar os usuários do processo, permitindo que o monitora mento seja executado sem ser percebido e transfor mandoo em uma ferramenta para fins forenses computacionais. Contudo, mesmo que o monitora mento seja silencioso, se o usuário utiliza um ambi ente virtual que usa a placa de rede do host, o tráfego pode ser analisado, mas o monitoramento não seria capaz de esmiuçar o ambiente e se restringiria a mos trar apenas as atividades do host físico e não do vir tual. Esse tipo de cenário foi testado com várias ferra mentas, sendo que sua maioria foi ineficiente ao ana lisar ambientes virtuais, quando da análise do tráfego
|22
de rede e endereçamento IP, sendo que o monitora mento reconhece o ambiente virtual, mas não pode ser nem instalado e nem executado nesse tipo de am biente. Entretanto, esse é o resultado mais promissor, pois a ferramenta reconhece o ambiente virtual, uma vez que esses tipos de monitoramentos são projeta dos para funcionar interagindo entre o hypervisor e o host. O avanço das técnicas e tecnologias de virtualiza ção, bem como a disseminação da implantação de ambientes virtuais, traz consigo também o avanço das ferramentas de monitoração desses tipos de am bientes, o que significa que a evolução e aperfeiçoa mento das análises forenses dos mesmos irão progredir significativamente, já que todos os desen volvimentos recentes para seu gerenciamento provi sionamento e monitoramento propiciam aos peritos computacionais forenses formas mais concretas para se encontrar evidências. Entretanto, a combinação da análise forense com ambientes virtuais deve ser cer tificada acerca da capacidade de monitoramento das ferramentas para este tipo de ambientes, sendo que outro aspecto interessante é acompanhar o funciona mento da monitoração da VM de máquina para má quina. Além de ferramentas comerciais, há muitas ferra mentas de código aberto para monitoramento e análi se de ambientes e máquinas virtuais, como o Netcat, e sua versão de criptografia, o Cryptcat, por exem plo. Ambas são gratuitas e usadas, além do monito ramento, para criação de imagens forenses de confiança entre o ambiente alvo e a estação forense. Outra ferramenta de código aberto é o Forensic Server Project, que pode ser usado para coleta foren se remota. Há, ainda, ferramentas inicializáveis atra vés de CD/DVD, dentre as quais se podem citar o DFLCD e o Knoppix STD. Há muitas ferramentas disponíveis que propiciam condições para a análise forense computacional in vivo e que podem ser utili zadas para a investigação em ambientes virtuais. Os avanços na capacidade de armazenamento de dados que uma unidade removível pode suportar, bem co mo sua velocidade de leitura e escrita e, ainda, sua a possibilidade de inicialização, fazem deste tipo de mídia atraentes para ferramentas de análise forense in vivo, sendo a ferramenta de mais alto nível a CO FEE, da Microsoft.
3.2 Artefatos e Evidências Em uma análise forense computacional de ambi Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
entes virtuais in vivo, há muitas semelhanças nos ti pos e padrões de dados coletados em relação a um ambiente físico, pois em alguns aspectos, as evidên cias serão as mesmas tanto em um ambiente físico quanto em um ambiente virtual, tais como: usuários logados, portas abertas, processos em execução, in formações de sistema e de registro e dispositivos co nectados. Na condução de uma análise forense computacio nal de ambientes virtuais in vivo, algumas considera ções adicionais são pertinentes para a validação do tipo de ambiente como: saber se o ambiente é físico ou virtual, saber se há virtualização de hardware, de software ou ambas, saber se existem endereços MACs, bem como unidades de hardware específicos e identificáveis. Esses itens podem parecer sem im portância, mas podem afetar o resultado de um caso. Ao se fazer a imagem de uma máquina virtual, re comendase copiar os arquivos de extensão .vm* no mesmo diretório do arquivo vmdk. Devendose tam bém copiar o arquivo que está listado no arquivo de configuração .vmx, já que este é o arquivo da ima gem original usada para se criar a VM. Os arquivos de extensão .vmdk são os arquivos principais da VM. Eles documentam o ambiente vir tual e como o mesmo é armazenado. O arquivo de extensão delta.vmdk é produzido quando da criação da imagem da máquina virtual momento em que a VM deixa de escrever no arquivo * flat.vmdk e pas sa a escrever no * delta.vmdk. Esse arquivo pode ser útil para se determinar as mudanças que ocorreram na sequência de imagens de uma VM, caso se tenha ferramentas para sua interpretação. Máquinas virtuais também criam um arquivo de extensão .vmsn, o qual contém o conteúdo da memória quando a imagem da VM foi feita. Conforme descrito anteriormente, VMs também produzem um arquivo de extensão .vmss no momento em que a máquina virtual é pausada.
3.3 Arquivos de Processos e Portas Em qualquer análise forense computacional de ambientes virtuais in vivo, é importante se capturar suas portas abertas e serviços, dadas as particularida des de cada ferramenta de virtualização. Contudo, as coisas nem sempre são como parecem, logo, é impor tante que o perito proceda a análise de processos e portas com cuidado.
3.4 Arquivos de Log A maioria dos fornecedores de virtualização já es
|23
tá provendo gerenciamento centralizado de recursos para máquinas virtuais, bem como suporte para SNMP e WMI, porém a padronização de logs remo tos não está completamente perfeita ainda.
3.5 Uso de Memória A análise da memória é um dos principais compo nentes de uma investigação do tipo in vivo. Quando uma máquina virtual é criada, a memória é alocada a ela. Nesse processo, partes da memória disponível no computador físico (memória real) são definidas (alo cadas) para uso de cada máquina virtual. Dessa for ma, o SO anfitrião (real) possibilita que seu gerenciador de memória defina o swap de memória física (RAM) para as máquinas virtuais alocadas na máquina real. Alterações nas configurações de memória afetam diretamente as máquinas virtuais e o desempenho do sistema. No VMware Server, por exemplo, há limita ção do total da quantidade de memória RAM alocada para as máquinas virtuais, a fim de que elas não con sumam todo este recurso e façam com que o host en tre em colapso. Como regra geral, o total de memória de todas as máquinas virtuais em execução junto ao consumo de todos os processos do VMware Server não pode ser maior do que a quantidade de memória física do hospedeiro (máquina real), excluindose a memória adicional reservada ao host para seu funci onamento correto, enquanto as máquinas virtuais es tiverem em execução. A parte de memória reservada depende do sistema operacional hospedeiro e da quantidade de memória disponível no computador físico. Embora a quantida de de memória RAM que o VMware Server utilize possa ser reservada, a memória não é alocada anteci padamente e toda o restante não utilizado fica dispo nível para uso de outras aplicações, caso as VMs não o estejam o utilizando. No entanto, se toda a memó ria RAM estiver em uso pelas VMs, apenas o SO an fitrião ou qualquer outra aplicação sua pode usála. A sobrecarga de VM varia de acordo com o tama nho do disco e a memória alocada (tanto real quanto fisicamente). A fim de se evitar que isso ocorra, as seguintes opções podem ser utilizadas como referên cia: Colocar toda a memória da máquina virtual den tro de uma área reservada da memória RAM, res tringindo a quantidade e o tamanho das memórias das máquinas virtuais em execução para um de
Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
terminado momento; Permitir que parte da memória da máquina virtual em swap aloque um espaço moderado para troca em disco se necessário; Permitir que a memória das máquinas virtuais fa ça swap em disco se necessário. O processo de gerenciamento de memória em má quinas virtuais pode afetar a quantidade de informa ção recuperável da máquina virtual. Algumas tecnologias de virtualização fazem uso de tabelas de paginação enquanto outras não, exceto em caráter temporário, sendo que através de modificações no kernel é possível se garantir acesso limitado do siste ma operacional hóspede às tabelas de paginação da memória física. Para isso, uma tabela de paginação é mantida para prover o acesso virtual entre as páginas de memória virtual do SO convidado (virtual) e as páginas subjacentes da máquina física, protegendo os sistemas operacionais que são convidados de depen derem especificamente da memória física, o que per mite ao hypervisor otimizar o uso de memória. A virtualização de memória em máquinas virtuais é baseada no mesmo princípio do monitor de máqui na virtual (VMM) utilizado para controlar os arqui vos de paginação enquanto o sistema operacional mantém uma tabela de endereços de páginas virtuais para cada processo que corresponda aos da página fí sica. Nas tecnologias de virtualização mais comuns, pa ra aumentar ou diminuir dinamicamente a quantidade de memória alocada às máquinas virtuais, ou um dri ver de memória é carregado para o sistema operacio nal hóspede, ou a paginação é implementada a partir da VM em um arquivo de swap de servidor. Dessa forma, quando uma máquina virtual é ligada, um ar quivo de swap é criado no mesmo diretório que o ar quivo de configuração da máquina virtual, sendo que o controlador de memória faz parte do pacote de fer ramentas e drivers da VM, os quais se não estiverem instalados, fazem com que o SO anfitrião use a sua área de swap em disco para forçar a recuperação da memória.
3.6 Análise de Memória A análise da memória de alguns ambientes virtu ais é mais simples que outras análises. A investigação do conteúdo da memória de uma máquina virtual em um ambiente virtualizado que se utilize do VMware Server ou Workstation é mais facilmente analisado
|24
capturandose e analisandose arquivo .vmem, o qual corresponde à sua memória utilizada, que nada mais é que o arquivo de paginação da máquina virtual, ou seja, é um backup da memória principal do sistema operacional convidado. Ele está localizado no siste ma de arquivos do host e é criado na inicialização da máquina virtual e para se recuperar esse arquivo é possível pausar a VM e então usar qualquer ferra menta de análise para se analisar o arquivo. Sendo que o VMware Server pode funcionar sem o arquivo .vmem. Portanto, se o arquivo não for encontrado, tornase necessário abrir o arquivo .vmx e caso nele haja a linha mainmem.useNamedFile = “FALSE”, significa que o arquivo .vmem não foi criado. O arquivo .vmem pode ser aberto em editores he xadecimais e a partir destes é possível se fazer a ex tração de dados e dumping de memória. Porém, cabe ressaltar um problema: quando uma máquina virtual é desligada esse arquivo é apagado do disco. Entre tanto, o perito computacional forense deve usar de sua expertise e atentar para o seguinte detalhe: em máquinas virtuais que rodam em VMware há um ar quivo chamado vmware.log e que pode ser facilmen te aberto e editado por qualquer editor de texto simples. Nesse arquivo há especificado o caminho no disco onde o arquivo .vmem foi criado e referenciado pela última vez, como, por exemplo, algo tipo ./usr/desktop/memory.vmem. De posse dessa infor mação (local onde o arquivo .vmem estava) é possí vel recuperar o arquivo .vmem que foi apagado do disco com qualquer ferramental para recuperação de dados o que, hoje em dia e com as atuais tecnologi as é, de certa forma, bem simples. Assim sendo, de posse desse arquivo (recuperado) podese, então, abrilo em um editor hexadecimal e de lá fazer extra ção de dados, dumping de memória, análise forense, ter acesso e se saber o que foi executado por aquela determinada máquina virtual. Existem muitas ferramentas disponíveis para fazer as coletas e análises especificadas desde ferramen tas comerciais a ferramentas opensource. A alocação de memória física e memória virtual em máquinas virtuais ocorre através da interação en tre o sistema operacional hospedeiro e o ambiente virtualizado. A máquina física virtualiza o gerencia mento de memória para o sistema operacional convi dado. Como resultado, o acesso direto à memória física real não é permitido pelo sistema operacional convidado. Para isso, o VMM utiliza as tabelas de paginação para mapear a alocação de memória do SO Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
convidado e coordena o mapeamento de memória com a máquina física. Isso posto, a quantidade de memória RAM aloca da individualmente para as máquinas virtuais tem o mínimo de impacto sobre o ambiente, devido à forma que o anfitrião (máquina física) reserva memória pa ra as máquinas virtualizadas, ou seja, mesmo que mais memória física seja alocada para uma máquina virtual a fim de que ela não acesse muitas vezes a memória virtual, não há nada que acarrete no declí nio da quantidade de dados recuperáveis a partir do arquivo de swap mesmo com o aumento da quantida de de memória RAM.
IV Análise Forense Computacional de Ambientes Virtuais Post Mortem ou Dead Analysis de Ambientes Virtuais Tradicionalmente, os peritos computacionais fo renses usam máquinas virtuais para criar ambientes isolados para análise de malwares e vírus ou para ver o ambiente da mesma maneira que o suspeito, de tal forma que seja possível ao perito iniciar a imagem ou o disco em um ambiente virtual a fim de se visualizar o sistema numa perspectiva em nível de usuário. Essa metodologia propicia um ambiente de configurações controladas que não modificam o sistema operacional hospedeiro e no qual, após o perito proceder as devi das análises forenses, quaisquer modificações podem ser descartadas. Dessa forma, a máquina original é preservada e pode ser utilizada sem quaisquer efeitos adversos. Atualmente, em vez de se utilizar ambientes virtu ais para se analisar a máquina de um suspeito, os am bientes virtuais precisam ser analisados. Como descrito anteriormente, a tecnologia de virtualização é usado em todas as facetas de ambientes corporati vos desde o datacenter ao desktop. Além disso, a mo bilidade e portabilidade de aplicações permitem maior flexibilidade e facilidade no uso e transporte do seu ambiente de trabalho. Ambientes inteiros po dem ser levados em dispositivos portáteis como em uma unidade USB, por exemplo, onde um sistema operacional pode ser fácil e independentemente exe cutado. Assim sendo, com uma mídia removível, o único lugar em que a evidência de um delito digital pode se localizar é na memória de acesso aleatório (RAM), a qual é apagada quando o computador é desligado. Esses ambientes, combinados com a possi bilidade de se baixar uma máquina virtual da Inter net, mudaram o cenário e o contexto das evidências
|25
digitais. Todas essas mudanças tecnológicas trazem novos desafios aos métodos tradicionais de realiza ção de análise forense computacional. Muitas perícias forenses computacionais ainda são realizadas utilizandose o método tradicional da cria ção de uma cópia forense (imagem forense) da má quina do suspeito através de um bloqueador de escrita em disco e depois usar essa imagem para criar um caso em um software de análise forense (como o FTK, por exemplo). Contudo, esse método não per mite ao perito ver dentro da máquina virtual. Em vez disso, devese procurar por sinais de que um ambien te virtual foi utilizado e, em seguida, montálo para se examinar seus arquivos. Como discutido anteriormente, as máquinas virtu ais constituemse de arquivos no disco rígido, os quais podem ser facilmente copiados, excluídos ou armazenados em locais remotos. As tecnologias de virtualização são capazes de fazer uma imagem ins tantânea (snapshot) de uma máquina virtual, a qual pode ser posteriormente revertida ao seu estado ori ginal (momento em que foi copiada). O conceito por trás dos snapshots é análogo à criação de um ponto de restauração onde e quando são armazenadas to das as informações de configuração do sistema para posterior restauração caso seja necessário. Sendo que nos arquivos de snapshots é possível que se haja evi dências. A seguir serão abrangidos os principais arquivos de instalação, entradas de registro, artefatos e outros itens que um perito pode encontrar quando se tratar de análise forense computacional de ambientes virtu ais. Ademais, como o VMware e o Virtual PC são os gerenciadores de máquinas virtuais e ambientes vir tuais mais comuns, ambos serão o foco principal desse subitem e das análises aqui apresentadas. To davia, outros ambientes virtuais também serão discu tidos a fim de se mostrar sua existência, bem como os procedimentos para sua análise e coleta de evi dências.
4.1 Formatos de Imagens de Discos Vir tuais Formatos virtuais podem ter diferentes localiza ções de arquivos e cabeçalhos de um ambiente real, quando da análise de ambientes virtuais. Os formatos de imagens de discos virtuais são os mais variados, sendo que os tipos mais comuns são: Fixa arquivo de imagem atribuído ao disco fixo
Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
com seu mesmo tamanho. Dinâmica arquivo de imagem que é tão grande quanto os dados que estão sendo escritos em disco, incluindo o tamanho do cabeçalho e do rodapé. Diferenciada representação em bloco do estado do disco virtual comparado ao real. Dentre esses três tipos de formatos de discos vir tuais mais comuns, a imagem do tipo dinâmica tem a peculiaridade de ser constantemente ajustada e pode crescer até o tamanho alocado, com um limite máxi mo de 2040 gigabytes. O rodapé de um arquivo de disco virtual é a parte fundamental da imagem e é espelhado como um ca beçalho antes do arquivo para fins de redundância. Dessa forma, sempre que um bloco de dados é adici onado ao arquivo que monta o disco, o rodapé é mo vido para o final do arquivo. Uma imagem de disco diferenciada é uma repre sentação em bloco do estado do disco virtual compa rado ao real. Assim sendo, esse tipo de imagem é dependente do disco real para ser totalmente funcio nal. A imagem do disco real pode ser fixa, dinâmica ou diferenciada. Como a imagem diferenciada de dis co armazena o localizador de arquivo do disco real dentro de si mesma, quando este tipo de disco é aber to por uma máquina virtual, o disco real também é aberto. Se o disco real puder ser um disco diferencia do, podese então montar uma cadeia de imagens di ferenciadas de discos rígidos onde imagens do tipo fixa ou dinâmica podem ser encontradas. Em assim sendo, os formatos de disco rígido são projetados pa ra armazenar arquivos localizadores do disco real pa ra diferentes plataformas ao mesmo tempo, a fim de apoiar o movimento de discos rígidos entre platafor mas. Em imagens de disco dinâmicas e diferenciadas, os dados do campo offset do rodapé da imagem apontam para uma estrutura secundária que fornece informações adicionais sobre a imagem de disco. O cabeçalho da imagem dinâmica aparece em um setor limitado do disco (512 bytes). O primeiro setor de um disco virtual é o MBR (como nos discos reais). A partir dele, as partições no disco virtual podem ser determinadas. Geralmente a primeira entrada é a partição de boot (primária). Através das estruturas para o MBR, o setor de inicia lização pode ser determinado. Assim sendo, o setor
|26
de inicialização é o setor de boot da partição e a ca deia, desde o primeiro setor até o setor de boot é consistente e pode ser determinada pelo código base ado na especificação acima.
4.2 Recomendações Ferramentas de varredura e exploração como snif fers, podem ser muito úteis no processo de análise forense computacional de ambientes virtuais. Entre tanto, seu emprego requer muita atenção, cautela e expertise pericial, uma vez que os resultados obtidos com suas capturas podem necessitar de informações que requeiram análises adicionais, as quais podem ser mal interpretadas, se não forem minunciosamente investigadas e estudas. Como os dispositivos estão se torando cada vez menores e com maior capacidade, eles podem ser fa cilmente escondidos. Assim sendo, os ambientes físi cos devem ser examinados de perto e in loco. Na análise de um dispositivo removível, procedi mentos para o bloqueamento de escrita são emprega dos para se fazer sua imagem forense, mas o perito deve ter cautela e considerar a utilização, pelo drive, de utilitários como o USB Hacksaw e que podem comprometer o exame máquina. Além disso, o uso de ferramentas como o Switchblade, para coleta de in formações, pode afetar a máquina do perito e suas análises.
V Considerações Finais Uma das preocupações mais frequentes e atuais no universo da computação é em relação à segurança do uso de virtualização e dos ambientes virtuais, principalmente quanto à integridade do servidor físi co quando da invasão de uma máquina virtual. Os sistemas operacionais e aplicativos executados em ambientes virtualizados deixam diferentes tipos de vestígios computacionais para serem analisados, o que resulta em novas evidências e procedimentos na condução de uma investigação quando da ocorrência de um delito digital. Fator este que se agrava devido à falta de técnicas e/ou procedimentos direcionados à execução de sua análise forense computacional. Os desafios enfrentados pelo perito forense com putacional ao analisar ambientes virtuais crescem de maneira exponencial. As dificuldades são caracteri zadas por diversas formas; uso de programas de este rilização de arquivos ou unidades, criptografia, esteganografia e técnicas de ocultação de dados em áreas de discos rígidos não são acessíveis aos siste Julho 2012 • segurancadigital.info
ARTIGO Segurança Digital
mas de arquivos tradicionais. A complexidade de re cuperar ambientes virtuais aumenta também em fun ção da evolução dos processos de fabricação, que permitem unidades com maior capacidade de arma zenamento, atualmente medida em termos de teraby tes, sendo que a recuperação e análise de máquinas virtuais não podem ser feitas exclusivamente por software e depende de uma análise criteriosa e exper tise do perito. A grande abrangência da atividade forense com putacional em diversas áreas que envolvem seguran ça computacional traz complexidade aos trabalhos a serem realizados na investigação de cada caso. A va lidade técnica e jurídica das metodologias para recu perar dados de computadores envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos têm que ser tecnologicamente robustos para garantir que toda a informação útil co mo prova seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na evidência original seja alterado, adicionado ou ex cluído. Os ambientes virtuais podem fazer da investiga ção forense uma tarefa difícil, já que a virtualização de hosts, aplicativos e sistemas operacionais tende a deixar as evidências dispersas. Outro problema quan do da análise forense computacional de ambientes virtuais é descobrir onde a informação está ou é ar mazenada. O perito precisa acompanhar constante mente as dinâmicas melhorias e novas técnicas, as diferenças entre os produtos e quais arquivos são in teressantes para coleta e análise.
GALVÃO, Ricardo Kléber M. Perícia Forense Computacional. Rio de Janeiro: UNIRIO, 2009. MARINS, Carlos Eduardo. Desafios da Informática Forense no Cenário de Cloud Computing. Brasília: ICOFCS, 2009. MELO, Sandro. Computação Forense Com Software Livre Conceitos, Técnicas, Ferramentas e Estudos de Casos. Rio de Janeiro: Alta Books, 2009. MORRISON, Bruno. Gestão de Riscos em Ambientes Virtuais. São Paulo: Onicommunications, 2009. ORMANDY, Tavis. An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments. California: Google Inc., 2009. VMWARE. Soluções de Virtualização. [S.I.]: VMware Inc., 2011. Disponível em: <http://www.vmware.com/br/solutions/>. Acesso em: 02 maio 2011. WOLF, Chris. Virtualization Tips and Ramblings. [S.I.]: Chris Wolf, 2010. Disponível em: <http://www.chriswolf.com/?page_id=93>. Acesso em: 10 abril 2011.
VI Referências BARRETT, Diane. Virtualization and Forensics A Digital Forensic Investigator’s Guide to Virtual Enviroments. 1ª Edição. Burlington: Syngress, 2010. BAWCOM, A. Virtualization for Security Including Sandboxing, Disaster Recovery, High Availability, Forensic Analysis, and Honeypotting. 1ª Edição. Burlington: Syngress, 2009. CASEY, Eoghan. Handbook of Computer Crime Investigation Forensics Tools and Technology. 2ª Edição. California: Academic Press, 2003.
|27
Deivison Pinheiro Franco Graduado em Processamento de Dados. Especialista em Redes, Suporte a Redes e Ciências Forenses. Arquiteto de Infraestrutura de TI. Professor de Informática Forense, Segurança da Informação, Redes, SO e Arquitetura de Computadores. Perito Forense Computacional e Pentester. Certificações: CEH, CHFI, DSFE e ISO/IEC 27002..
Email: deivison.pfranco@gmail.com Link: http://lattes.cnpq.br/8503927561098292
Julho 2012 • segurancadigital.info
|0 |28
Janeiro 2012 Setembro 2012 â&#x20AC;˘â&#x20AC;˘ segurancadigital.info segurancadigital.info
ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios Numa pesquisa da CMI (Chartered Management Institute) junto a seus membros, realizada em janei ro de 2012 no Reino Unido, sobre continuidade de negócios, dos gestores cujas organizações não ti nham um Sistema de Gestão de Continuidade de Negócios implementado, a grande maioria justificou a sua ausência porque sua organização raramente sofre de eventos perturbadores (54 por cento) e que eles lidam com o rompimento quando ele ocorre (46 por cento). Embora essa seja uma abordagem mais frequente em pequenas organizações, ela não se res tringe as mesmas. No Brasil, se comparadas suas características frente a outros países, podese afirmar que certa mente é um país privilegiado em relação a diversos tipos de catástrofes naturais: não existem terremo tos, maremotos, tsunamis, furacões, dentre outros. Há sim ocorrências de inundações, seca, e outras, mas que poderiam ser bem menos trágicas caso fos sem feitos os investimentos necessários pelo poder público, principalmente em projetos de prevenção. Mas quando se trata de continuidade de negóci os, estes não são os únicos eventos que podem levar a interrupções dos negócios de uma organização. A esta lista, podese acrescentar: • Falha de equipamentos (como falha no disco);
|29
• Interrupção do fornecimento de energia ou de telecomunicações; • Falha de aplicativos ou corrupção de banco de dados; • Erro humano, sabotagem ou ataque; • Ataques de software malicioso (vírus, worms, cavalos de Tróia); • Hacking ou outros ataques na Internet; • Agitação social ou ataques terroristas; • Fogo, dentre outros. Algumas das afirmações frequentes por parte de organizações ao justificar a sua falta de preparação, vão desde “Isso não vai acontecer com a gente”, “Nós somos grandes demais para falir”, “Nós não somos um alvo terrorista” até a crença de que a sua companhia de seguros vai pagar por tudo. A maioria acha que não tem o tempo para se preparar para al go que nunca irá acontecer. Mas a lista de empresas que faliram após um incidente sugere que estas afirmações são baseadas em falsas premissas. Assim, a implementação de um Sistema de Ges tão de Continuidade de Negócios tornase impres cindível a todas as organizações, a fim de antecipar incidentes que possam afetar suas funções de mis são crítica e seus processos de negócios, garantindo que possam responder de forma planejada e ensaia da a esses incidentes. Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
Gestão de Continuidade de Negócios Segundo o Business Continuity Institute (BCI), Gestão de Continuidade de Negócios (GCN) é um processo holístico que identifica potenciais ameaças para uma organização e os impactos para as opera ções de negócios que essas ameaças, se concretiza das, podem causar. Ele fornece uma estrutura para a construção de resiliência organizacional com a ca pacidade para uma resposta eficaz que salvaguarde os interesses das principais partes interessadas, a re putação da marca, e atividades de criação de valor. De acordo com essa definição, uma organização deve examinar os riscos e ameaças a que está expos ta e estudar a melhor forma de lidar com um inci dente que venha a ocorrer. A escolha da palavra “incidente” em vez de “desastre” é importante, uma vez que o termo “desastre” imediatamente evoca imagens de uma explosão, incêndio ou graves inun dações. “Incidente” inclui estas ocorrências, mas abrange também falta de energia, falha de telecomu nicações, fraude, contaminação de produtos, e ou tros eventos que não se encaixam sob o significado geralmente aceito de desastre. O foco do GCN não é sobre planos e procedimentos para as coisas cotidia nas que dão errado, mas sim com incidentes signifi cativos que têm um impacto considerável sobre as atividades centrais da organização, assegurando a existência de planejamento, envolvimento significa tivo de pessoal adequado, aceitação e posse do pla no, e testes completos garantindo uma resposta adequada.
ISO 22301 Neste contexto, a ISO (International Organizati on for Standardization) lançou a norma ISO 22301 “Segurança Social – Sistemas de gestão de continui dade de negócios – Requisitos”, a nova norma inter nacional que vem substituir a norma Britânica BS25999. Como ocorre em outras normas ISO, a ISO 22301 especifica requisitos genéricos, que são apli cáveis a todos os tipos de organizações, tais como empresas públicas, privadas ou comunitárias, inde pendente da sua dimensão e natureza. Os requisitos, que constituem o escopo da nor ma, são para planejar, estabelecer, implementar, operar, monitorar, rever, manter e melhorar continu amente um sistema de gestão documentado de modo a preparar uma organização para responder e recu perarse de eventos que possam interromper seu
|30
funcionamento normal, caso ocorram. Para alcançar os objetivos pretendidos pela nor ma, a ISO 22301 chama atenção para os seguintes pontos a serem observados pelas organizações na implementação de um SGCN: 1. Compreender as necessidades da organiza ção e a necessidade de estabelecer objetivos para/e uma política de gestão de continuidade de negóci os; 2. Implementação e operação de controles e de medidas para gerenciar a capacidade global de uma organização, no que respeita à gestão de inci dentes que possam causar interrupções nas opera ções normais da mesma; 3. Monitoração e avaliação de desempenho e eficácia do SGCN; e 4. Melhoria contínua baseada em medição ob jetiva. A estrutura apresentada pela norma segue o pa drão do ISO Guide 83, que é a nova estrutura de al to nível para normas de sistemas de gestão e termos e definições comuns fundamentais para estes siste mas. Apresentase assim, formada pelas seguintes cláusulas e atividades:
Cláusula 4: Contexto da organização O objetivo dessa cláusula é buscar um alinha mento estratégico entre a Política da Organização (missão, valores, estratégias, objetivos) e sua Políti ca de Continuidade de Negócios (objetivos de con tinuidade de negócios), através da compreensão das principais questões que surgem a partir da identifi cação dos objetivos estratégicos da organização, seus produtos e serviços essenciais, sua tolerância aos riscos e os requisitos legais, regulamentares, contratuais ou das partes interessadas aos quais a organização esteja submetida.
Cláusula 5: Liderança Essa cláusula enfatiza a importância da alta ges tão estar comprometida continuamente com o SGCN, uma vez que sua liderança permitirá a cria ção de um ambiente onde o sistema de gestão possa operar efetivamente. As responsabilidades designa das vão desde a integração dos requisitos do SGCN aos processos de negócio da organização, o forneci mento dos recursos necessários para o SGCN, até assegurar que os objetivos e planos são estabeleci dos, dentre outras.
Cláusula 6: Planejamento Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
O planejamento é a fase onde se estabelecem os objetivos estratégicos e os princípios que orientarão o SGCN, e devem ser coerentes com a política de continuidade de negócios, definirem o nível mínimo de produtos e serviços aceitável para a organização, ser mensuráveis, considerar os requisitos aplicáveis e monitorados e atualizados conforme as necessida des.
Cláusula 7: Apoio/Suporte Essa cláusula trata da utilização dos recursos ne cessários para cada uma das tarefas que fazem parte da gestão do SGCN. Abrange pessoas, equipes e serviços de apoio, além das atividades de comunica ção interna e externa. Define também as especifica ções para garantir que a informação documentada forneça o apoio necessário.
Cláusula 8: Operação Nessa fase, são descritas as atividades a serem executadas para implementar o SGCN e colocálo em operação conforme o planejado: • Análise de Impacto de Negócios (AIN): Pro cesso de identificação dos processos críticos, suas interdependências e do efeito que a interrupção dos negócios pode ter sobre eles. • Avaliação de Riscos: Processo global de iden tificação de riscos, análise de risco e avaliação do risco, sendo recomendado a utilização da ISO 31000 como referência para a sua implementação. • Estratégia de Continuidade de Negócios: De finição das estratégias necessárias para garantir que a organização possa recuperar suas atividades críticas tendo como base os requisitos estabeleci dos na AIN e na avaliação de riscos, alinhadas com a estratégia global de negócios da organiza ção. • Procedimentos de continuidade de negócios: Compreende a documentação dos procedimentos necessários para garantir a continuidade das ativi dades e gestão de um incidente disruptivo. Algu mas características são esperadas nesses procedimentos, como serem específicos sobre as medidas a serem adotadas, flexíveis no modo de resposta, focados no impacto dos eventos e efici entes a ponto de minimizar as consequências dos incidentes. • Procedimentos de exercícios e testes: Processo de validação dos planos de continuidade de negó cios e procedimentos definidos, a fim de garantir que as estratégias escolhidas serão capazes de atender os requisitos de recuperação esperados. Diferentes tipos de exercício podem ser utilizados,
|31
e devese avaliar os benefícios e desvantagens de cada um, evitando ficar restrito a apenas um dos tipos possíveis.
Cláusula 9: Avaliação de desempenho Essa cláusula define um processo de acompanhamento contínuo do SGCN, através de atividades que consistem em monitoramento do sistema em todas as suas fases, medição do desempenho dos processos, procedimentos e funções, monitoramento do cumprimento da norma e dos objetivos de continuidade de negócios e execução de auditorias internas.
Cláusula 10: Melhoria/Aperfeiçoamento O processo de melhoria contínua é definido como o conjunto de ações que serão tomadas a fim de aumentar a eficácia e eficiência do Sistema de Gestão de Continuidade de Negócios, ampliando os benefícios esperados pela organização e demais partes interessadas. A implementação de um Sistema de Gestão de Continuidade de Negócios tendo a norma ISO 22301 como referência, certamente irá oferecer às organizações que a utilizem a expectativa de alcançarem êxito no desenvolvimento de suas estratégias para garantir que seus processos críticos de negócio estarão preservados em caso de incidentes disruptivos, permitindo a continuidade das operações até a restauração da normalidade. Além deste, que é o principal benefício a ser alcançado na adoção de um SGCN, outros que podem ser citados são: conformidade com normativos, redução de custos com seguros, evitar grandes perdas de receitas, clientes, mercado, e até mesmo evitar o encerramento da companhia. Marcelo Veloso MBA em Gestão de Segurança da Informa ção pela Universidade FUMEC, Bacharel em Sistemas de Informação pela Universi dade PUCMinas, com 18 anos de experiên cia em TIC, atuando na área de infraestrutura e ocupando cargos de coorde nação e gestão. Certificações: MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation e ISO/IEC 27002. Atual mente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da Cidade Administrativa de Minas Gerais. Twitter: @MVSecurityBR Email: marcelo.veloso@outlook.com Site: www.arya.com.br Setembro 2012 • segurancadigital.info
Novos Desafios da Segurança em Nuvem, com foco em BYOD e Mobilidade No atual ambiente de negócios do Brasil, sobre tudo no cenário de crescente mobilidade e de migra ção para a nuvem, para uma empresa alcançar consciência situacional e proteger de forma proativa seus ativos críticos de informação, é imprescindível manter o tempo todo conformidade com padrões e normas de segurança e reduzir os riscos dos ativos de informação a um nível desejado. Porém, mais do que simplesmente focar em GRC – governança, ris co e compliance, ou na adoção de ferramentas reati vas tradicionais de segurança da informação, como firewalls e antivírus, a área responsável pela gover nança da segurança deve estabelecer um processo de monitoramento contínuo, que envolva capturar evidências, analisálas e agir proativamente em apoio à tomada de decisão. Isto pode ser alcançado com base na análise proativa de logs (registros de eventos) e informações de alerta, coletados em tem po real de uma ampla variedade de sistemas corpo rativos. Contudo, em virtude do volume e da crescente variedade dos dados de segurança envol vidos, é impossível conduzir este processo de modo manual. Um gerenciador de eventos e informações de se gurança (SIEM) é uma solução de tecnologia emer gente, desenvolvida para introduzir maior
|32
inteligência e automação na coleta, correlação e análise de logs e alertas, de modo a permitir que a equipe de segurança da empresa se antecipe às ameaças e se concentre no que é mais estratégico ao negócio. Mas é preciso um SIEM que seja adequado ao atual ambiente de nuvem e de crescente mobili dade, e que leve também em conta o baixo desem penho da conexão da Internet brasileira. Uma tarefa, sem dúvida, bastante desafiadora. Além disto, existe uma tendência crescente de nominada BYOD (bring your own device), em que os colaboradores trazem seus dispositivos móveis ao local de trabalho, usandoos para obter acesso privilegiado a recursos da empresa – como emails, banco de dados e servidores de arquivos. Embora a BYOD provoque avanços significativos nos negóci os, com funcionários mais produtivos pelo uso da própria tecnologia no trabalho, esta prática pode re sultar em sérias violações da política de segurança. É preciso, então, dispor de um complemento a uma solução SIEM, de modo a se obter uma solução integrada que monitore continuamente tais disposi tivos móveis de forma transparente, com uso de in teligência e armazenamento, permitindo inclusive auditorias e perícias forenses, em conformidade com normas, regulamentações e regras corporativas.
Setembro 2012 • segurancadigital.info
ARTIGO Segurança Digital
Um importante passo é utilizar um sistema de Gerenciamento de Dispositivos Móveis (MDM em inglês, Mobile Device Management), a fim de pro teger, monitorar e gerenciar dispositivos móveis. Em geral, um sistema MDM inclui funcionalidades de distribuição de aplicativos OTA (overtheair), dados e definições de configuração para todos os ti pos de dispositivos móveis, incluindo telefones ce lulares, smartphones, tablets, computadores móveis, impressoras móveis, dispositivos móveis POS, entre outros. No ambiente corporativo, isso se aplica a ambos os dispositivos de propriedade da empresa e os de seus colaboradores. Embora ao controlar e proteger os dados e definições de configuração para dispositivos móveis na rede, um sistema MDM pos sa colaborar na redução dos custos de suporte e dos riscos do negócio, ele não possui a inteligência arti ficial para correlacionar eventos nem a capacidade de armazenamento e recuperação de logs, típicas de um SIEM. E como os SIEM mais conhecidos no mercado não costumam lidar com registros de dis positivos móveis, resolver este impasse tornase um admirável desafio. Uma startup brasileira aceitou tal desafio, paten teando um SIEM com o citado complemento que monitora e armazena logs de dispositivos móveis. O sistema vem com alguns diferenciais competitivos, tanto em relação ao desempenho – processado em linguagem C para compensar a baixa performance da Internet brasileira – quanto em novas funcionali dades, ligadas à nuvem e à mobilidade. Em 2012, a Procela[1] lançou o SIEM Proce laUmbra™, que armazena e monitora continuamen te, via Web, logs de dispositivos físicos, virtuais ou em cloud. O produto pode funcionar em um appli ance local ou na nuvem, e fazer coleta, análise e guarda de enormes volumes de dados. Uma vez na rede, a solução também monitora aparelhos móveis e envia os eventos coletados diretamente ao SIEM. No produto nacional, o acesso aos dados busca mai or agilidade por meio do uso de um banco de dados open source, não relacional, orientado a objetos – uma solução inovadora e única, que possui inclusive patente no INPI. O sistema possui um aplicativo complementar, denominado ProcelaGeo™, que monitora eventos em tablets e smartphones com sistemas operacionais iOS e Android, apresentando via Web informações
|33
em modo gráfico ou em relatórios customizáveis. Também faz monitoramento georeferenciado do aparelho móvel, bem como a visualização de seu trajeto passado ou atual (a partir da Web ou de um visualizador, instalado em outro dispositivo móvel); ele permite também execução remota de rotinas de segurança, como apagar informações sensíveis e mesmo tirar e recuperar fotografias remotamente. Finalmente, este primeiro e, atualmente, único SIEM brasileiro parece uma solução que busca atender aos novos desafios trazidos pela nuvem, pe la tendência do BYOD e pela crescente demanda de mobilidade ao ambiente corporativo de negócios no país. É ver para crer.
Procela Inteligência em Segurança [1] www.procela.com.br
Paulo Sergio Pagliusi Ph.D. in Information Security – Royal Holloway, University of London. Mestre em Computação – UNICAMP. PósGrad. em Análise de Sistemas – PUCRJ. Certifi cados CISM, BS7799LA. CapitãodeMar eGuerra da reserva, foi Diretor (CEO) de duas Organizações da Marinha, tendo fundado, no CASNAV, a Divisão de Criptologia. Diretor do ISACARJ e da CSA BR. SócioDiretor da Procela. Email: pagliusi@procela.com.br Twitter: @ppagliusi Site: www.procela.com.br
Setembro 2012 • segurancadigital.info
Eventos ISRio Encontro de Gestores e Especialistas em Segurança da Informação Realizado em 10/08/2012, contou com o apoio da Revista Segurança Digital. Os editoreschefe Johnantan Pereira e Luiz Felipe Ferreira estiveram presentes. Este último foi o apresentador do evento. http://www.isrio.com.br/
VII Workshop SegInfo Palestras realizadas entre 31/08/2012 e 01/09/2012. O editorchefe Luiz Felipe Ferreira foi um dos palestrantes com o tema: "BYOD Você tem uma estratégia para dispositivos móveis?", onde além do tema, apresentou a revista aos presentes. http://www.evento.seginfo.com.br/
|34
Setembro 2012 • segurancadigital.info
Eduardo Fedorowicz (Agenda TI) MBA Gerenciamento de Projetos pela FGV; graduado em Ciência da Computação pela UGF. Mais de 14 anos de experiência em TI, atuando nos últimos 9 anos na área de Segurança de TI. Mantém desde 2011 o site www.agendati.com.br que reúne em um só lugar os principais eventos, congressos e workshops de Segurança da Informação, Inovações Tecnológicas e Tendências de TI. Email: eduardo@fedorowicz.com.br Site : http://www.agendati.com.br Twitter: @fedorowicz @agendati
|35
Setembro 2012 • segurancadigital.info
Parceiros
Venha fazer parte dos nossos parceiros, que apoiam e con tribuem com o Projeto Segu rança Digital.
|36
Setembro 2012 • segurancadigital.info
PARCEIRO 4Linux
»
Segurança em Servidores Linux
Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de pre servar o valor que possuem para um indivíduo ou uma organização. São características básicas da segu rança da informação os atributos de confidencialida de, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de prote ção de informações e dados. O conceito de Seguran ça Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da In formação, incluindo não apenas a segurança dos da dos/informação, mas também a dos sistemas em si. O curso Segurança em Servidores Linux ensina o aluno a utilizar ferramentas de segurança FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, possibi litando ao profissional de TI propôr modelos de segu rança com ferramentas consagradas no mundo do software livre. O curso é fortemente focado na criação de proce dimentos de segurança pósinstalação, fazendo com que o sistema se torne mais seguro e conscientize o aluno sobre a importância desses procedimentos e da sua obrigatoriedade em todas as implementações.
Para mais detalhes acesse: http://www.4linux.com.br/cursos/cursosseguranca. html#curso508
Quem deve fazer este curso e por que O curso Segurança em Servidores Linux é indica do para o profissional de TI que: > Se preocupa com a segurança dos servidores da sua empresa; > Deseja identificar e registrar comportamentos que podem afetar o desempenho dos servidores es tando em produção ou em ambientes de testes; > Quer minimizar ou eliminar os principais pro blemas e riscos com a segurança da sua infra; > Quer se tornar especialista em segurança da in formação e obter a certificação LPIC 3 – Exam 303;
|37
Setembro 2012 • segurancadigital.info
www.ablesecurity.com.br
|38
ANÚNCIO AbleSecurity
Setembro 2012 • segurancadigital.info
PARCEIRO Brasport
Não conseguiu visualizar o QRCode? Então utilize o link abaixo:
www. brasport. com. br/index. php?dispatch=promotions. set&code=segdigital
|39
Setembro 2012 • segurancadigital. info
PARCEIRO Brasport
Sorteio Brasport
Nessa 8ª edição estaremos juntamente com a Brasport sorteando no dia 15/10, uma unidade do Livro (Crimes Cibernéticos), para participar deste sorteio publique no twitter:
Eu quero participar do sorteio (Livro Crimes Cibernéticos) http://kingo.to/1c7m @_SegDigital @Brasport
Descrição
Vários foram os motivos que levaram os autores a escreverem este livro, mas os principais foram contribuir para a segurança virtual no Brasil e preparar policiais e outros integrantes da persecução penal para o combate aos crimes cometidos no âmbito da internet, ou seja, os crimes cibernéticos. Percebeu-se, num momento inicial, que havia a necessidade de se estabelecer, frente às deficiências e vulnerabilidades dos órgãos policiais diante do crescimento do registro dos crimes cometidos em ambientes virtuais e/ou eletrônicos, uma metodologia auxiliar na investigação criminal, qualificando-a.
|40
Setembro 2012 • segurancadigital.info
PARCEIRO HostDime
»
Top 10 Mitos sobre Hospedagem de Sites DETONADO!
Não acredite em tudo que você lê se tratando de hospedagem de sites. Faça sua pesquisa e en contre o melhor plano de hospedagem para as ne cessidades de sua empresa e de seus clientes. Vamos tornar este processo um pouco mais fácil desvendando os 10 mitos mais comuns sobre hos pedagem de sites.
Mito #1 : Hospedagem de sites é intrigan te e complicado. MITO DETONADO!
A parte mais difícil sobre hospedagem de sites é criar o seu site a partir de um rascunho. Será ne cessário um bom conhecimento sobre o nicho de mercado que você mais gosta de trabalhar. Uma vez que tenha a ideia do site, a parte frustrante es tará terminada! Agora é a hora de hospedar seu si te em algum lugar.
Mito #2: Todas as empresas de hospeda gem de sites irão atender minhas necessi dades. MITO DETONADO!
Parabéns, você teve uma ótima ideia para um site que irá te trazer dinheiro e sucesso, desde que não leve a pesquisa sobre seu provedor de hospe dagem de forma simples. Seria uma verdadeira vergonha se milhares de pessoas realizassem o acesso ao seu site e verificassem que o servidor estava com problemas ou até mesmo fora do ar. Encontre uma empresa de hospedagem que tenha um 'uptime' garantido e pesquise um plano que seja adequado para você.
Mito #3: Hospedagem gratuita é a melhor opção. MITO DETONADO!
Na realidade, existe uma enorme diferença en tre planos de hospedagem pagos e gratuitos. Quando surge um problema, você irá gostar do conforto de ter uma equipe de suporte apta a aju
|41
dar na resolução do problema. Caso opte por pla nos gratuitos, você estará totalmente sozinho na batalha contra inevitáveis complicações. Mais desvantagens, como espaço em disco limitado podem impedir você de conquistar mais dinheiro com sua hospedagem.
Mito #4: É necessário experiência em hospedagem para gerenciar um site. MI TO DETONADO!
Gerenciar um site tem se tornado “mamão com açúcar” graças a painéis de controle que aumen tam as funcionalidades de seu site. O painel de controle onde todos os elementos chaves de seu site podem ser facilmente encontrados. Criação e gerência de contas, senhas, contas de email, contas FTP, domínios, subdomínios, páginas de erro, bases de dados MySQL, redirecionamentos, entre tantos outros que poderíamos passar o dia todo apenas listando estas funcionalidades.
Mito #5: É possível ter um site de sucesso sem gastar dinheiro. MITO DETONADO!
Infelizmente temos que dar esta notícia ruim, mas no final, você sabe que é verdade. Hospeda gem de sites não é o lugar para ser “pão duro”, se você leva a sério um futuro com lucros e susten tabilidade. A competição será acirrada e será ne cessário pagar por serviços de SEO para tornar seu site mais completo e “único” em relação a seus concorrentes. Invista seus lucros em seu site e verá sua criação prosperar.
Mito #6: Deve se hospedar seu site com a mesma empresa que fez o registro de seu domínio. MITO DETONADO!
Nunca presuma que uma popular empresa de registro de domínios será também uma ótima em Setembro 2012 • segurancadigital.info
PARCEIRO HostDime
presa de hospedagem. Muitas pessoas permane cem com as empresas que registram seus domíni os pela facilidade e por falta de pesquisas. No entanto, a maioria destas pessoas acabam tendo que procurar empresas mais robustas, como a HostDime, na qual encontram ajuda para transfe rir o domínio. É possível ainda ter seu domínio registrado com uma empresa e hospedar conosco, bastando uma simples alteração de DNS no órgão de registro original.
Mito #7: As especificações de minha con ta não são importantes. MITO DETONA DO!
Não podemos enfatizar o suficiente que você deve fazer em pesquisas para descobrir exatamen te o que está recebendo de seu provedor de hospe dagem. Compare as especificações e opções cuidadosamente. Limite de tráfego e de espaço em disco são itens muito importantes e você será melhor servido encontrando uma empresa que ofereça a opção "ilimitado" para os dois itens.
realizar backups de seus dados é extremamente importante. Você não quer correr o risco de perder o que trabalhou tanto para criar. O cPanel possuí uma ferramenta de backup intuitivo que permite que o dono da hospedagem crie e restaure bac kups de seu próprio site. Através de um gerencia dor de backup, você terá a habilidade de realizar o backup completo de uma única vez ou realizar um agendamento para que o sistema de backup possa ser executado diariamente, semanalmente ou mensalmente. De qualquer forma, guardar um backup de seus dados no servidor interno de sua empresa ou em hardwares externos é sempre re comendável.
Mito #10: Suporte técnico é terceirizado. MITO DETONADO!
Este mito pode ser verdade para muitas outras empresas de hospedagem, porém, não na HostDi me. Você estará em contato 24x7x365 diretamente com nossos técnicos para auxiliar em seus siste mas ou serviços.
M i t o # 8 : A m a i o r i a d a s e m p r e s a s d e h o s pedagem possuem DataCenters indepen dentes e certificados. MITO DETONADO!
Muitas empresas de hospedagem darão a en tender que possuem DataCenter próprio para pro ver seus serviços, porém, a não ser que deixem bem claro este fato, provavelmente não será o ca so. Uma provedora de hospedagem que está no comando de seu próprio DataCenter, hardware e suporte, está melhor preparada e apta para prover uma excelente ajuda quando você precisar. A Ex emplo da HostDime, onde não terá que lidar com intermediários, pois trabalhamos com DataCenter próprio.
Mito #9: Não é necessário fazer backup de seus dados. MITO DETONADO!
Mesmo que esteja sem nenhum tempo livre,
|42
HostDime Brasil www.hostdime.com.br Setembro 2012 • segurancadigital.info
|43
Setembro 2012 â&#x20AC;˘ segurancadigital.info
PARCEIRO Kryptus
|44
Setembro 2012 â&#x20AC;˘ segurancadigital.info
PARCEIRO HostDime
»
Treina Tux (Sorteios)
O minicurso de Segurança da TreinaTux, é um curso que aborda os seguintes temas: Fi rewall + Squid + Samba, este curso tem dura ção de 1 semana (2º á 6º feira) e será ministrado por professores experientes nas áreas, Firewall será ministrado por Paulo Deolindo e Squid + Samba será ministrado por Fabio Barros, ambos com carreira conso lidada na área de TIC. Todo administrador de sistemas, indepen dente da plataforma, se preocupa com a segu rança do mesmo. São exemplos de perguntas comuns entre os administradores e a gestão de uma organização: "Quem pode acessar o servidor e como?" E se... alguém tentar aces
so aos serviços sem permissão?" E se... al guém tentar passar pelo meu firewall?" E se... o diretor quiser fazer uma auditoria nos meus sistemas?". Neste minicurso muitas dúvidas serão sanadas e o profissional terá a oportu nidade de conhecer mais sobre a área de se gurança da nformação. As aulas são 100% online com comparti lhamento de shell, a TreinaTux trabalha com o número máximo de 15 alunos por turma, para manter a qualidade e a melhor agrega ção pedagógica por parte dos alunos. Sorteio de: 2 bolsas 100% 13 bolsas no valor de R$ 250,00
Fique atento em nossas redes Twitter e Facebook, respectiavemente www.twitter.com/_SegDigital e www.facebook.com/segurancadigital pois estaremos publicando instruções para este sorteio.
Confira outros cursos da TreinaTux
|45
Setembro 2012 • segurancadigital.info
NOTÍCIAS Bancos brasileiros investem alto contra frau des Com o uso crescente da internet para efetuar pagamentos, a Fe deração Brasileira dos Bancos (Febraban) tem registrado tam bém aumento nas fraudes ban cárias. Para impedir as ações dos criminosos, as instituições investem pesado em tecnologias para aprimorar a segurança das transações e dos dados do cliente, desde softwares até equipamentos que im põem uma barreira contra os ataques. No primeiro semestre de 2011, o prejuízo com fraudes em meios eletrônicos foi de R$ 685 milhões, 36% a mais do que no mesmo período do ano anterior, conforme da dos da Febraban. Segundo o especialista em seguran ça digital da SmartSec e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), Fábio Leto Biolo, os bancos investem alto para evitar fraudes, mas o hábito de resguardar os dados ainda não é muito bem disseminada entre os brasileiros. >> http://migre.me/b2mp6
Site da Campus Party permanece fora do ar devido a protestos O site da Campus Party Brasil permanece fora do ar há 4 dias devido a pro testos de usuários com re lação ao preço cobrado no ingresso para a edição de 2013. Na última terçafeira, 02, quando seria dado início às vendas dos ingressos para a edição 2013, os ataques começaram. Segundo a organização do even to, o site foi sobrecarregado com diversos acessos si multâneos e saiu do ar, em um tipo de ataque conhecido como DDoS (negação de serviço). Os ata ques são um protesto contra os preços definidos para a edição 2013 do evento. No Twitter (com a hashtag #CPBR6) e no Facebook (com um evento de boico te), é possível encontrar usuários insatisfeitos com os novos preços.
Norton aposta em segurança para redes soci ais e celulares Na apresentação da linha 2013 de seus apps de segu rança, a Symantec mostra que a prioridade agora en volve tanto usuários de redes sociais quanto de smartpho nes. Há uma forte razão para isso. De acordo com o especialista em segurança cibernética da Norton, Adam Palmer, quatro entre dez brasileiros foram ví timas de cibercrime na internet durante 2011. >> http://migre.me/b2mte
Cibercrime custa R$ 16 bi por ano no Brasil O Brasil é, empatado com a Índia, o terceiro país que mais perde com crimes digi tais, atrás apenas da China e dos Estados Unidos. Essa é uma das conclusões do estu do Norton Cybercrime Report 2012, da Symantec. Nas contas da empresa, o país perde 16 bilhões de reais por ano com crimes digitais. A pesquisa teve a participação de 13 mil adultos com acesso à internet em 24 países. A Symantec diz que as perdas somam 220 bilhões de reais nesses países, que é o valor que os americanos gastam anualmente com fast food. A empresa estima que 556 milhões de pessoas são víti mas de crimes digitais por ano, o que equivale a 18 ocorrências por segundo. 42% delas são casos de fraude; e, 17%, de roubo de informações. Cada ata que geraria um prejuízo médio de quase 400 reais. >> http://migre.me/b2muH
Contribua com nosso projeto! Envie um email para nossa equipe!
>> http://migre.me/b2mri
contato@segurancadigital.info
|46
Setembro 2012 • segurancadigital.info
COLUNA DO LEITOR
EMAILS, SUGESTÕES E COMENTÁRIOS Esta seção foi criada para que possamos compartilhar com você leitor, o que andam falando da gente por aí... Contribua para com este projeto: (contato@segurancadigital.info). J. Paulo (por E mail) Um belo dia cheguei no escritório para trabalhar e um amigo veio correndo para me apresentar uma revista de segurança disponibilizada gratuitamente na internet, na hora pensei que por ser gratuita não teria um conteúdo de qualidade, após ler duas das mais de 50 páginas notei que estava errado e virei um grande admirador de vocês! Parabéns. Nilson (por E mail) Sem sombra de dúvida o conteúdo produzido por essa equipe maravilhosa é de alto nível. Tenho certeza que ainda teremos grandes surpresas. Tive o prazer de conversar pessoalmente com o fundador deste projeto, pelo pouco que conversamos fiquei admirado e surpresso com todos os planos que o Fábio ainda reserva para nós leitores. Vocês não perdem por esperar.
incluir ao menos um tutorial por edição. José (no Site) Uma edição simplesmente show. Essa edição de aniversário trás um conteúdo muito bem elaborado, sem falar é claro dos vários sorteios... Leandro Moura (no Site) Muito boa a revista e essa edição especial deve tá interessante! Baixando pra conferir. Rafaela (no site) Adorei essa edição especial de aniversário. Um artigo melhor do que o outro, sem falar que tudo isso é disponibilizado gratuitamente para download. Vocês são demais! Continuem assim, bela iniciativa Fábio.
Gabriel (por E mail) Sempre que uma nova edição é lançada realizo o download na hora, além das revistas em PDF, gostaria de poder possuir uma coleção Revista Segurança Digital impressa. Mas parece que logo breve isso será possível, não vejo a hora de poder fazer isso. Parabéns.
Roberto (no Site) Excelente revista que abre espaço para compartilhament o de conhecimento e conscientização dos profissionais de tecnologia sobre a importância da Segurança no mundo físico e virtual. Fico feliz de participar deste grupo. Parabéns!!!
Sami (por E mail) Fábio, na edição de número 5 você escreveu um tutorial sobre como tornar o SSH resistente a brute force, adorei este tutorial. Acho uma ótima ideia
le idy Oliv e ir a @ Le idy olly ( no Twit t e r ) @_SegDigital adoro ler a revista ,muito boa..assuntos interessantes..:)
|47
Setembro 2012 • segurancadigital.info
Segurança Digital 8ª Edição Setembro de 2012
www.segurancadigital.info @_SegDigital
segurancadigital