Page 1


VOCÊ PODE:

Licença

Copiar, distribuir, criar obras derivadas e exibir a obra.

COM AS SEGUINTES CONDIÇÕES:

Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto.

Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.

Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem au­ torização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres­ sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa­ ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen­ te. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador.

|02

Julho 2012 • segurancadigital.info


Editorial

No século passado seria impensável imaginar que viveríamos conectados a uma rede mundial carregando dispositivos onde poderíamos executar diversas funções. A geração atual (diferen­ te da minha) interage com o toque de um dedo em smartphones e tablets, se comunica diferente (a distância usando as redes soci­ ais), tem um assistente pessoal comandado por voz (Siri) e ainda pode usar somente gestos (Kinect). E estes são só alguns exemplos. A tecnologia tem mudado as nossas vidas e a computação em nuvem é a base dessa mudança, impulsionada pelas tecnologias de virtualização, é ela que permite que a informação esteja sem­ pre disponível onde quer que você esteja. E cada vez mais "ter­ ceirizamos" as nossas informações, armazenando­as em gigantescos e desconhecidos datacenters de empresas que ten­ tam a todo custo ganhar a nossa confiança. A "cloud compu­ ting", como é conhecida, ainda está em processo de amadurecimento e por isso muitas questões ainda geram incer­ teza, como disponibilidade e principalmente, segurança. A crescente adoção dos dispositivos móveis é a principal pre­ ocupação de gestores e profissionais de Segurança da Informa­ ção. Antes, havia um certo controle, pois os usuários utilizavam estações de trabalho corporativas, porém a realidade agora é ou­ tra e precisamos nos munir de ferramentas que ajudem a manter os dados, esse sim o ativo mais importante, de qualquer empre­ sa. É um caminho sem volta, incontrolável, que somos obrigados a conviver. Os usuários usam, compartilham, se expõem cada vez mais, sem se dar conta dos riscos para as suas próprias vidas e para o dia a dia das empresas. No passado, seria impensável que abriríamos mão de algo tão precioso, a nossa privacidade. Mas, não é isso que nós queremos mesmo sem saber?

DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info EDITORES­CHEFE Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Karina M. Queiroz kmq@arya.com.br Nágila Magalhães nagilamagalhaes@gmail.com Fabrício Cristian Basto analistatiblog@gmail.com Davies Nassaro dnassaro@gmail.com Deivison Pinheiro Franco deivison.pfranco@gmail.com Walter Aranha Capanema contato@waltercapanema.com.br Marcelo Veloso marcelo.veloso@outlook.com Paulo Sergio Pagliusi pagliusi@procela.com.br REVISÃO Andressa Findeis findeis.andressa@gmail.com

Hey you, get off of my cloud!!

Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br

http://twitter.com/_SegDigital

Por Luiz Felipe Ferreira @lfferreiras

www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info

|03

Setembro 2012 • segurancadigital.info


Índice Artigo

Parceiros

Evolução, como fica a segurança?

05

4Linux

37

IPv6 e uma abordagem na segurança

08

AbleSecurity

38

Computação Forense com Software Livre

12

Brasport

39

HostDime ­ Top 10 Mitos sobre Hospedagem de Sites Detonado!

41

Pensar fora da caixa – Às vezes, um olhar do lado de fora é tudo que precisamos!

16

BYOD: Uma análise jurídica

18

Análise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare (Final)

20

ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios

29

Novos Desafios da Segurança em Nuvem, com foco em BYOD e Mobilidade

32

Eventos

34

44

Kryptus

45

TreinaTux

35 ­ Agenda TI Confira o calendário dos profissionais de TI

46 ­ Notícias Fique informado quanto ao que acontece no mundo virtual.

47 ­ Coluna do leitor Entre em contato e contribua com a revista

|04

Setembro 2012 • segurancadigital.info


Evolução, como fica a segurança?

Na prática Todos sabem que as empresas evoluíram rapida­ mente com o uso da Internet e consequentemente a facilidade de acesso tornou toda ação, rápida demais. Esse processo de crescimento rápido trouxe um des­ conforto geral que se resume na administração célere de enormes quantidades de informação e a sensação de descontrole é iminente. Quem aqui consegue ler todos os e­mails, notícias, recados da escola e ainda desenvolver obrigações em casa e no trabalho, todos os dias? Quem não tem nada pendente que atire a pri­ meira pedra. Naturalmente as empresas se movimentaram para criar silos de gestão, implantaram práticas de gover­ nança (muitas empresas utilizaram o Cobit e a ITIL como guias), treinaram colaboradores em normas de gestão como a ISO 9.000, ISO 20.000, entre outras, contrataram gestores de processos, auditoria, segu­ rança entre outros personagens de apoio. O esforço despendido pelas organizações na estru­ turação, manutenção e monitoração da operação do negócio gerou e ainda gera muito trabalho para todos os colaboradores. Atualmente ainda temos muitas empresas que exe­ cutam mudanças de ativos de infraestrutura de rede, como um roteador, em minutos, no final de semana, sem registro, sem aviso, sem que gestores estejam re­

|05

almente sabendo do risco dessa indisponibilidade do negócio. Se transportarmos essa situação para em­ presas que possuem um processo de mudança bem estabelecido e com regras definidas e divulgadas o cenário da mudança pode ser assim: • Registro da mudança com 10 dias de antece­ dência; • Participação do solicitante no comitê de mu­ danças: mínimo de 2 horas de reunião; • Prática quase semelhante à de um SPAM com o envio de 15 e­mails, com dúvidas das pessoas que conhecem e sabem o que vai ocorrer na mudança e aquelas que resolveram questionar a sua capacida­ de de entendimento sobre o que será feito na mu­ dança; • Mínimo de 8 telefonemas explicando a mudan­ ça para outras pessoas do departamento de gestão de mudança, incidentes, problemas, relacionamen­ to com o cliente, secretária do chefe. Bom, o cenário é simplesmente caótico e no final das contas ninguém fez qualquer menção aos riscos do negócio. Claro, não posso deixar de mencionar que todos perguntaram do risco de fazer essa mudan­ ça no final de semana para VOCÊ, que disse que o

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

risco é baixo, claro. No fundo você acaba de aceitar o risco de indisponibilidade do negócio de uma empre­ sa que fatura mais de $50 milhões de reais por ano e é um funcionário que não tem qualquer responsabili­ dade pelo negócio e logo não responde legalmente pela organização. Isso nos remete ao processo de monitoração, um processo conhecido, porém mal utilizado. Esse termo não é exclusivo para NOC, COC, SOC, CIRT, CSIRT e afins; é uma ação natural de observação, análise, proteção. Neste caso típico de "gestão de mudança caótica" não houve o papel da monitoração do risco da indis­ ponibilidade do negócio. Parte dele ficará fora, mas quais são os processos e produtos interdependentes? As reuniões infinitas que julgam o solicitante que teve a humilde missão de endereçar a mudança e não tem qualquer conhecimento dos riscos aceitáveis pa­ ra o negócio, faz sentido? Tenho visto que grande maioria das empresas im­ plantam sistemas de monitoração nas áreas de crédi­ to, fraude, redes, telecom, segurança, call­center, só ainda não ficou claro se gestores estão conseguindo usar os indicadores nas tomadas de decisão estratégi­ ca. Veja esse diálogo: ­­­ Chefe, temos muito SPAM na organização e consultei o nosso especialista de se­ gurança da engenharia e este me passou a necessida­ de urgente da aquisição de um sistema anti­SPAM, estou enviando anexado à mensagem 3 propostas pa­ ra sua avaliação e retorno. Urgente claro. Analisando o diálogo é notável a ausência de da­ dos que fizeram com que o funcionário identificasse o que chamou de "muito SPAM". O problema de SPAM realmente é muito sério e todos deveriam usar anti­SPAM na rede ou nos softwares de e­mail, mas... Analisando mais a fundo esse típico cenário que ocorre diariamente nas empresas me pergunto: O que exatamente significa adquirir um sistema de anti­ SPAM que custa mais de U$ 500.000,00 em caráter urgente? Este caso é comum nas empresas e deveria, depois de esclarecido a partir de dados concretos, ser tratado em reunião de comitê executivo e suportados pelo gestor da governança de segurança da informa­ ção (CISO, CSO, SO, etc.) para que a decisão seja tomada com base nos riscos de ter SPAMs demais na empresa. O ponto importante e um tanto peculiar de toda essa história é que na prática, gestores estão falhando no papel de controle de riscos e na monitoração do

|06

negócio. Hoje existem muitos fabricantes de ferramentas de gestão de risco (em minha opinião essas ferra­ mentas não fazem gestão, mas consolidam riscos e ajudam e muito na organização dos planos de ação). Vejam que ferramentas de monitoração de TI e dis­ ponibilidade do negócio estão sempre em alta. Outro ícone importante no cenário da gestão atual de TI e Segurança é hoje um sonho de consumo de todo gestor: O "dashboard". Vamos ver a definição de dashboard no wikidictionary da Wikipedia: O dashboard é um painel com informações im­ From dash ("to sprinkle; to splatter") +‎board for meaning 1. Possibly expanded meaning later. portantes para que a pessoa que o utiliza possa tomar decisões com base no que está monitorando, contro­ lando. Sabe o painel de um avião? É um dashboard para que o piloto saiba qual é o estado de operação do avião e que decisões, o piloto e o copiloto toma­ rão caso se deparem com eventos de anormalidade. Esse painel de monitoração deveria ser elaborado com base nas necessidades de controle da empresa e, portanto endereçar informações realmente relevantes e importantes. • Para avisar a equipe técnica de que algo está fora de operação ou sofrendo algum tipo de inter­ venção; • Para informar ameaças detectadas na infraes­ trutura de rede ou durante as análises de riscos; • Para demonstrar a evolução da gestão de segu­ rança e uso efetivo dos controles; • Para informar volume de vendas em tempo re­ al; • Para informar quais e quantos incidentes de se­ gurança estão ocorrendo na empresa; Podemos citar inúmeros indicadores de desempe­ nho, indicadores de objetivo alcançado (KGIs), indi­ cadores de produção, indicadores de crescimento, porém o desfecho deverá ser sempre o mesmo – in­ formações importantes para decisões importantes e não mais um grupo de informações não interpretadas. O processo de gestão dos riscos deve remeter à necessidade de ações do negócio em todos os mo­ mentos – seja durante a concepção de uma pequena empresa quanto na gestão de marketing de uma gran­ de corporação – minimamente vejo como pontos im­ Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

portantes: • Levantamento de ameaças e vulnerabilidades do negócio; • Definição de ações para mitigar os riscos de­ tectados e inerentes ao negócio; • Meios de monitoração e controle de riscos de­ tectados; • Opções de transferência de risco e a eliminação de riscos simples; • Insumos para mudanças de estratégia com base no entendimento real da exposição do negócio aos riscos; Quando juntamos o "conhecimento" dos riscos com a monitoração dos controles estamos de fato, re­ conhecendo como funciona o negócio da empresa e controlando desvios. Desconhecer os riscos não é o mesmo que "risco aceitável", com um ajuste aqui ou ali vai passar pela auditoria, mas e quanto custa man­ ter tudo isso? Basicamente a aplicabilidade dos processos de gestão dos incidentes, monitoração e gestão de riscos é mais simples do pode parecer, porém a aderência dos gestores aos processos e a conscientização de to­ dos os funcionários nas diretrizes e preocupações é precário. Institutos como o NIST­ National Institute of Standards and Technology, Cert ­ Computer Emer­ gency Response Team e a ISSO ­ International Orga­ nization for Standardization disponibilizam frameworks de implantação desde o estabelecimento do processo de gestão até detalhes de operação. Rela­ ciono abaixo alguns frameworks que considero im­ portantes para a construção dos processos: • Risk management framework (RMF) ­­­ fre­ quently asked questionS (FAQ's), Roles and res­ ponsibilities & quick start guides (QSG's) do NIST ­ http://ow.ly/dWPrW; 31000 Risk Management ­ • ISO http://www.iso.org/iso/home/standards/iso31000.h tm ­ da ISO; do cert.br ­ • Podcast http://www.cert.org/podcast/show/leaders.html; • Governing for Enterprise Security Implementa­ tion Guide ­ http://www.cert.org/governance/ges.html De fato, na teoria temos referências de excelente qualidade para seguir, portanto nos resta s e reeducar

|07

funcionários e gestores. O estudo está cada vez mais negligenciado pela “urgência” no atendimento de desejos corporativos, e de que adianta ter melhores práticas para seguir se apenas o funcionário mais interessado estuda, mas os aprovadores, gestores e funcionários envolvidos têm apenas uma leve ideia do que se trata? Não é suficiente. Lamentavelmente conhecimento e compromisso são cada vez mais raros nas empresas. Atualmente, com a quantidade de incidentes de segurança e inovações, a gestão do caos luta contra um crime “organizado”. Só consigo enxergar uma saída, treinar o exército corporativo, capacitar os generais, fortalecer as bases e comunicar a todos que a guerra já começou.

Mini curriculum A 18 anos na carreira de engenharia de redes, te­ lecomunicações e segurança da informação. Atuou em áreas operacionais, de projetos e gestão. Nos últi­ mos 8 anos pós formação acadêmica da graduação e pós­graduação desenvolveu projetos de engenharia de segurança, monitoração, resposta a incidentes, computação forense, gestão de segurança, gestão de continuidade de negócios e gestão de riscos de TI. Desde então vem trabalhando na condução do SGSI (sistema de gestão de segurança da informa­ ção), desde o estabelecimento das políticas corpora­ tivas e planos de conscientização até a definição de tecnologias, processos de resposta a incidentes de se­ gurança, auditoria, gestão de continuidade do negó­ cio, gestão de riscos de TI e computação forense. Atuou em grandes empresas como IBM, UOL, AT&T, PwC e Grupo Santander. Clientes e empresas clientes de computação forense são mantidas em si­ gilo e por esse motivo não poderão ser mencionadas. Em que situação seu exército se encontra? Karina M. Queiroz Profissional de Gestão de segurança da in­ formação e sócia da Arya Networks presta serviços de consultoria, desde o estabele­ cimento de políticas e planos de conscien­ tização até a definição de tecnologias, processos de resposta a incidentes, audito­ ria, compliance, continuidade do negócio, gestão de riscos e investigação. CISM | CISSP | ITIL v.3 Skype: karina.qrz E­mail: kmq@arya.com.br Site: www.arya.com.br

Setembro 2012 • segurancadigital.info


IPv6 e uma abordagem na segurança

B

em boa parte dos usuários e profissionais que fa­ zem parte da web já devem saber da mudança do atual IPv4 para o novo protocolo de comunica­ ção entre computadores, o chamado IPv6 (Internet Proto­ col version 6) que vem para suprir a escassez de endereços IPs disponíveis, devido o crescimento elevado de novos dispositivos que se conectam a Internet, princi­ palmente com a explosão dos dispositivos moveis.

O presente IPv4 possui um espaço de endereça­ mento de 32 bits, que equivale um pouco mais de 4 bilhões de endereços. Ele não foi projetado para suportar a grande rede que a internet se tornou e com isso houve a necessidade do seu sucessor, sendo este novo protocolo com espaço de endereçamento de 128 bits equivalendo absurdamente a um número de 340 decilhões, impossível de compara com a versão IPv4. Serão tantos endereços IP's disponíveis com a nova versão que além de mais maquinas conectadas, também irá possibilitar até adesão de produtos eletrô­ nicos conectados, como já foram visto por aí, irá possibilitar o crescimento da chamada "Internet das coisas", na qual geladeiras, micro­ondas, carros entre outros conectados à rede, onde cada um deles terá seu próprio número de IP.

Diferenças entre IPv4 e IPv6:

|08

No IPv4, o campo de cabeçalho reservado para endereçamento possui um espaço de 32 bits. Isso possibilitar identificar pouco mais de 4 bilhões de dispositivos na Internet. Ex de endereço: 192.168.10.1 No IPv6, possui em seu cabeçalho um espaço de 128 bits, permitindo gerar 3,4x1038 endereços distintos, equivalente a 56 octilhões (5,6x1028) de endereços por ser humano na Terra. Ex de endereço: 2001:0DB8:AD1F:25E2:DFA1:F0C4:5311:84C1 Fonte: ipv6.br Mas depois desse breve inicio de conversa para se familiarizar, vamos ao ápice deste artigo. A grande preocupação das empresas e demais pessoas do ramo de tecnologia é a segurança do IPv6.? Vale ressaltar que este protocolo não é apenas um novo sistema de endereçamento e sim uma nova suíte de protocolos para Internet resolvendo vários dos problemas que surgiram com o crescimento da rede mundial, segurança entre eles. O IPv4 foi criado sem maiores preocupações com segurança. Inicialmente porque na época isso realmente não era um proble­ Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

ma. (BEZERRA, Marcelo, 2011)

Segurança no IPv6 A segurança dos dados sempre trará muitas dúvi­ das para as mentes das pessoas, como por exemplo: Será que terceiros acessam os meus dados sem o meu consentimento? É um erro afirmar que algo é 100% seguro. O mo­ tivo é porque sempre há algum aspecto esquecido, negligenciado ou desconhecido sobre o assunto. E novas técnicas invasão são criadas a cada dia infeliz­ mente. O IPv6 além de suprir a necessidade de mais endereços IP na rede, não teve o pensamento em segurança negligenciado. Mas quais são essas novidades que o IPv6 trará para os usuários?

IPSec Uma das grandes novidades em destaque para re­ solver possíveis problemas a respeito nesta versão, é a integração do protocolo de segurança IP conhecido simplesmente pela sigla IPSec de uso obrigatório ori­ ginalmente especificado na RFC2401 em 1998 e pos­ teriormente atualizado pelo RFC4301 em 2005, pelo qual possibilita a criptografia e autenticação de paco­ tes na camada de rede, fornecendo uma solução fim­ a­fim, garantindo a confidencialidade, integridade e autenticidade o que promove uma maior segurança dos dados em trânsito. E este protocolo considerado como um framework de segurança possui dois cabeçalhos: ­ Authentication Header (AH), utilizado para ga­ rantir a autenticação; ­ Encapsulating Security Payload, (ESP) utiliza­ do para prover confidencialidade dos pacotes trans­ mitidos. E além de gerar e gerenciar chaves criptográficas de segurança por meio do protocolo Internet Key Exchange (IKE) No caso do IPv4 já está disponível o IPSec de mo­ do opcional, entretanto, seu mecanismo de autentica­ ção não pode ser utilizado em conexões que estejam utilizando o NAT (Network Address Translation), que “esconde” o endereço IP original do emissor dos pacotes impedindo então sua identificação. No IPv6 o uso do IPSec se torna mais fácil.

Embora seu funcionamento seja praticamente o mesmo nas duas versões do protocolo IP, no IPv6: Não há necessidade de se utilizar NAT, permi­ tindo que o IPSec funcione sem restrições; Os mecanismos de autenticação e encapsula­ mento do IPSec fazem parte do protocolo; Seu suporte é obrigatório em todos os nós, o que não ocorre no IPv4. Fonte: ipv6.br Nota importante: Embora o uso do IPSec seja o obrigatório no IPv6, para sua efetiva utilização, ele deve ser utilizado em cada nó na rede pelos adminis­ tradores ou caberá a cada aplicação definir a utiliza­ ção do IPSec. Mas voltando ao assunto do IPv4, sem IPSec a se­ gurança os dados em nível de rede podem ser facil­ mente capturados, por sniffers (scanners de rede), que são programas destinados à captura de datagra­ mas que estão trafegando na rede, permitindo a visu­ alização dos dados. Além disso, os sistemas podem sofrer ataques, que são acessos indevidos ao sistema, em que o invasor poderá capturar, alterar ou destruir as informações [SILVA, 2003]. Um bom exemplo de sniffer é o Wireshark, co­ nhecido anteriormente como o famoso Ethereal, pos­ sibilitando captura do tráfego da rede e visualizar informações desde comandos digitados, como as tão sonhadas senhas, durante, por exemplo, em uma co­ nexão FTP no caso se fazendo da utilização do IPV4, enquanto que no IPV6 essas informações ficam invi­ síveis.

ICMPv6 (Internet Control Message Proto­ col) O ICMPv6 é mais um utilitário com versão atuali­ zada do protocolo ICMPv4 para ser utilizado em conjunto com o IPv6, sendo parte fundamental de sua arquitetura. No qual assume funções de outros proto­ colos, existentes isoladamente no IPv4. Tal mudança implementada com o simples intuito de reduzir a multiplicidade de protocolos, que é prejudicial por piorar a coerência e aumentar o tamanho das imple­ mentações.

Neighbor Discovery Protocol (NDP) NDP­ Protocolo de descoberta de vizinhança res­

|09

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

Varredura de Endereços (Scanning)

Figura 1­ Falhas,ataques e defesas

Tornou­se um pouco mais difícil, mas não impos­ sível, pois com uma mascara padrão /64, são possí­ veis 264 endereços por sub­rede. Portanto se fosse possível percorrer um milhão de endereços por se­ gundo, seria necessário aproximadamente 540.000 anos para percorrer toda sub­rede. Entretanto não se pode negar que para cada método de segurança que é criado existem já indivíduos pensando em formas de burlar.

|10

Neste caso de Scanning já existem alguns méto­ dos para conseguir potenciais vitimas, se tratando a respeito de ataques. Worms que utilizam varreduras na era IPv4 para infectar outros dispositivos, terão dificuldades para continuar se propagando toda a sub­rede.

Cuidados Transição do IPv4 para IPv6 A Transição do IPv4 para IPv6 pode ocasionar aparecimento de brechas de segurança caso: ­ Uma rede IPv4 ignore a existência do IPv6, pois computadores e equipamentos que suportam IPv6 podem se comunicar em IPv6 evitando a segurança implementada para IPv4. ­ Túneis automáticos são ignorados e a rede IPv4 não trata pacotes encapsulados, permitindo um ata­ cante acessar a rede e com isso evitando a segurança IPv4 ou um usuário dentro da rede acessar conteúdo ou redes que seriam bloqueadas se o acesso fosse via IPv4. ­ Técnicas de transição pode ser alvo de ataques. No uso da técnica 6to4 e Teredo para esse fim, por exemplo, podem apresentar riscos a segurança, pois essas técnicas dependem de servidores públicos para a criação do túnel que transporta IPv6 dentro de IPv4. Logo então inseguro.

Falhas, ataques e defesas no IPv6

Fonte: ipv6.br

ponsável por resolver os problemas de interação en­ tre nós vizinhos em uma rede. Utilizado para verificar a presença de outros nós, determinar os endereços de seus vizinhos, encontrar roteadores e atualizar informações sobre rotas. Atuando sobre dois aspectos na comunicação IPv6, a autoconfiguração de nós e a transmissão de pacotes. Nota: As mensagens do NDP são mensagens ICMPv6, que não oferecem proteção propriamente dita, pois não são protegidas pelo IPSec. E, portanto é sujeito a ataques que podem redirecionar o fluxo dos pacotes IP para lugares inconvenientes. Para resolver esses problemas o IETF criou o gru­ po de trabalho chamado SEcuring Neighbor Disco­ very (SEND), um suporte para segurança do protocolo de descoberta de vizinhança.

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

Conclusão É certo que o IPv6 veio para ficar para maior compatibilidade do crescimento da Internet. Em alguns lugares o estoque de IP’s já se esgotou e o novo protocolo já se faz presente. Não há como evitar sua adoção e saber proteger uma rede de maneira correta é extremamente importante, onde as informações que nela trafegam é o bem mais valioso. Esta nova versão do protocolo veio para melhorar a

segurança, mas é claro que ela não vai solucionar todos os problemas. Cabe agora aos profissionais de segurança e redes aprenderem (e administrarem) o novo protocolo e atentar aos mecanismos de transição, para que então o IPv6 não seja canal de abertura de novos ataques e sim uma segurança a mais na rede, pois, foi para este propósito que ele também foi criado.

Referências: IPv6.br. A nova geração do Protocolo Internet. Disponível em: <http:// http://ipv6.br/> BEZERRA, Marcelo. Segurança Digital. Disponível em: < http://segdigital.blogspot.com.br/2011/05/seguranca­em­ipv6­parte­2­de­4.html> SILVA, Lino Sarlo – Virtual Private Network (VPN), ED. Novatec, 2003. GODINHO JR, Luis; SOUSA, Jarbas Pereira Lopes; NUNES, Robert Mady, BOGO, Madianita. Análise da Segurança em Redes Puramente Ipv6. In: VII Encontro de Estudantes de Informática do Estado do Tocantins, 2005, Palmas. Anais, Palmas: 2005.

Nágila Magalhães Graduada em Tecnologia em Redes de Computadores pela FCAT e Pós graduanda em Segurança Computacional pelo IESAM. Apaixonada por tecnologia e ciberespaço, tenho em especial conhecimento nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colu­ nista na área computacional.. E­mail: nagilamagalhaes@gmail.com Twitter: @netnagila

|11

Setembro 2012 • segurancadigital.info


Computação Forense com Software Livre O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões, por is­ so todo investimento em segurança é necessário. As empresas precisam valorizar os profissionais de se­ gurança da informação, pois eles cuidam do bem mais importante que possuem. A área de segurança da informação é uma área promissora, com a evolução da internet, com certeza teremos muitos problemas e incidentes, que incluem: vírus, roubo de informações, ataques coordenados de crackers e muitos mais. As estatísticas não são muito favoráveis, com relação a vírus e incidentes de segu­ rança, segundo cert.br.(Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). As empresas precisam proteger sempre seus ativos de informação para evitar problemas e prejuízos. O bem mais valioso que as empresas possuem são as infor­ mações que fazem ela funcionar, gerar receita e lu­ cratividade. Neste ano ocorreram vários ataques cibernéticos a portais do governo, serviços prioritários e empresas tradicionais, sendo os mais recentes, ataque e roubo de senhas de serviços, tais como Linkedin, na qual foram decifradas 6 milhões de senhas dos usuários (dados não oficiais) e também ocorreu roubos de in­ formações da Rede Social Facebook. Quando um ser­

|12

viço nasce, ele pode ser 100% seguro, mas com a evolução das técnicas de invasão, logo trona­se vul­ nerável, por isso é muito importante investir em pro­ teção e segurança para suas informações e sistemas. Existem hoje, diversos sistemas operacionais ba­ seados em Linux e Software Livre, desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da Informação e Computação Forense. Os sistemas possuem ferramentas e aplicativos exclusi­ vos para realização de testes, análises e atividades da área, tais como: recuperação de arquivos apagados, analisadores de logs do sistema e programas, enge­ nharia reversa, testes de invasão, vasculhador de ta­ refas executadas no sistema, analisador de protocolos enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre outras coisas. Nesta era, em que estamos conectados em todos os lugares, os problemas e incidentes tendem a au­ mentar, o mercado de segurança da informação é promissor, por isso busque especialização nesta área, com certeza terá retorno rápido. Aproveite para co­ nhecer alguns sistemas operacionais baseados em Li­ nux e Software Livre, que reúnem ferramentas e um conjunto de aplicativos customizados para profissio­ nais da área de segurança da informação, que traba­ lham com Forense Computacional. São Eles:

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

FDTK – Forense Digital ToolKit Distribuição Linux especializada em segurança da informação e computação forense, baseada em Ubun­ tu, tendo como vantagem principal ser toda em portu­ guês. O projeto possui um kit com mais de 100 ferra­ mentas utilizada para realização de testes, coleta, análises em forense computacional. Possui uma in­ terface gráfica amigável, está em constante desenvol­ vimento, para que o usuário possa contar com ferramentas forenses de qualidade, sem custo, tudo em português. O usuário pode baixar a distribuição e instalar na sua máquina ou utilizar como LIVE CD, podendo ro­ dar em qualquer estação com drive de CD/DVD sem a necessidade de instalação no Disco Rígido. Atual­ mente ela está na versão 3.0 sempre atualizada pela comunidade Linux e Software Livre.

Informações e download: http://www.backtrack­linux.org/

CAINE Distribuição Linux especializada em segurança da informação e computação forense, é baseada no Ubuntu, a distribuição CAINE (Computer Aided In­ vestigative Environment) é um projeto de forense di­ gital baseado em Linux e Software Livre. Com uma interface amigável e visual, o sistema possui um pa­ cote de aplicativos para realização de investigações forense que vão desde o básico ao avançado. O sistema pode ser utilizado para diversas avalia­ ções, confira a lista de aplicativos do sistema. http://www.caine­live.net/page11/page11.html

Informações e download: http://fdtk.com.br/

BACKTRACK Distribuição Linux com foco em segurança da in­ formação e computação forense, o BackTrack possui um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de segu­ rança. O sistema é destinado a todos os públicos, dos profissionais de segurança mais experientes aos no­ vatos. Com ótimos recursos, o sistema pode ser utili­ zado para análises diversas, avaliação de aplicação web e sistemas, aprender sobre segurança da infor­ mação, estudos de engenharia social, realizar testes de penetração e vários outros aplicativos.

|13

Informações e download: http://www.caine­live.net/

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

SANTOKU Distribuição Japonesa Linux especializada em se­ gurança da informação e computação forense, com foco em segurança mobile, engenharia reversa e aná­ lises de malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e tablets. Atualmente as pragas virtuais para smartphones e tablets crescem num ritmo acelerado, os recursos contidos nessa distribuição são muito úteis para reali­ zação de testes e experiências em segurança móbile.

Informações e download: http://www.deftlinux.net/

BACKBOX

Informações e download: https://santoku­linux.com/

Distribuição Linux, baseada em Ubuntu, especia­ lizada em segurança da informação e computação fo­ rense. Foi desenvolvida para realização de testes de pe­ netração e avaliações de segurança. O projeto oferece ao usuário as melhores ferramentas para análises, testes e investigações forenses, além de ser rápida, fácil de usar e fornecer um ambiente completo, a dis­ tribuição está sempre atualizada para garantir quali­ dade e evolução constante.

DEFT Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da informação e compu­ tação forense, com kernel na versão atual 3. Um sis­ tema profissional, estável com uma excelente conjunto de ferramentas para realização de análises forenses, inteligência cibernética e realização de tes­ tes. A distribuição possui cerca de 3 GB de tamanho, com um kit de ferramentas chamado de DART (Di­ gital Advanced Response Toolkit ­ Ferramenta de Resposta Digital Avançada). O ambiente gráfico é o LXDE, porém no terminal é mais rápido a realização das tarefas. O usuário pode usar o sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas ferramentas, citando as principais: descoberta de informações de rede, inclu­ sive wireless, análise de aplicações web, coleta de in­ formações em redes sociais, proteção de identidade, clonagem de disco e recuperação de arquivos. A equipe mantenedora do sistema disponibiliza um manual completo para estudos.

|14

Informações e download: http://www.backbox.org/

HELIX Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e compu­ tação forense, possui uma gama de ferramentas dedi­ cada a investigações e estudos da ciência da computação forense.

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

para análise de documentos maliciosos e utilitários para a engenharia reversa de malware através de aná­ lise forense de memória. Informações e download: http://zeltser.com/remnux/

Informações e download: http://www.e­fense.com/

REMnux Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e compu­ tação forense, utilizada por analistas de segurança na criação e administração de malwares para engenharia reversa. Engenharia reversa, no caso, é utilizada para criar novas pragas para combater as existentes. Os profissionais criam uma nova amostra de malware em laboratório para infectar o sistema que possui o malware em questão e direciona as conexões potencialmente maliciosas para o sistema REMnux, que estará escutando e analisando o software malici­ oso. O que ocorre na verdade é a engenharia reversa, que estuda e entende como funciona o praga para combatê­la.

Não tive oportunidade de testar todos os sistemas, somente algumas distribuições. É necessário um es­ tudo prévio para analisar qual sistema é melhor para a atividade a ser exercida. Esses sistemas são destinados a profissionais, é preciso ter ética para realização das atividades foren­ ses, tanto com os sistemas citados neste artigo, quan­ to em qualquer recurso existente, para a segurança e proteção de todos. Não utilize os recursos para prática de crimes. Hacker não Cracker! Bons estudos e sucesso!

Fabrício Cristian Basto

Administrador, Analista de Sistemas, fissurado em tecnologia, segurança da informação, software livre, blogs, tudo que gera conhecimento. CRA/ES Nº 9009

O kit de ferramentas do sistema inclui programas

|15

Twitter: @analistati E­mail: analistatiblog@gmail.com Site: http://analistati.com/

Setembro 2012 • segurancadigital.info


Pensar fora da caixa – Às vezes, um olhar do lado de fora é tudo que precisamos! O saber adquirido ao longo do tempo, por horas e horas de estudos em livros, manuais e páginas web, juntamente com o conhecimento do ambiente de tra­ balho e do “modus operandi” dos usuários constitui uma importante ferramenta no arsenal de trabalho dos membros de qualquer equipe profissional de Tec­ nologia da Informação(TI). Esse conhecimento en­ curta espaços e períodos, tornando a solução de problemas e o desenvolvimento de serviços persona­ lizados muita mais dinâmicos e com uma enorme economia de tempo e até de dinheiro. Acontece que, da mesma maneira que essa imer­ são no ambiente de TI da empresa pode ser uma van­ tagem, ela pode tornar­se um empecilho na gerenciamento de problemas e desenvolvimento de soluções otimizadas. Quanto mais tempo se passa imerso em uma realidade, mais condicionado a ela se fica e mais difícil é enxergar problemas que muitas vezes podem ser considerados corriqueiros e de fácil solução depois que os entendemos. Esse contexto é o que pode ser chamado de “Pen­ sar Dentro da Caixa”. Esse termo pode ser encontra­ do em vários contextos, até mesmo muito distante dos da área de TI e envolve o modo automático que passamos a tomar algumas atitudes depois de algum tempo convivendo com uma certa realidade, onde ad­ quirimos vícios que podem até serem aliados em cer­

|16

tos momentos, mas quando necessitamos de uma ideia diferente, ou um olhar de outro ângulo, esbar­ ramos nas dimensões reduzidas que nossa percepção alcança quando ficamos condicionados a um mesmo ambiente. Em algumas ocasiões ficamos tão compe­ netrados na solução de um problema que passamos a não prestar atenção em muitos fatores que poderiam ser uteis.

Muitas vezes é necessário olhar o problema por fora, como se não soubéssemos tanto a respeito dele, como se fossemos uma pessoa totalmente leiga e quiséssemos ajudar a soluciona­lo, como se fosse a primeira vez que se deparássemos com tal empreita, ou seja, pensar fora do perímetro da empresa. Essa

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

atitude nem sempre é fácil e requer treino, disciplina e até uma certa dose de humildade, para que se possa entender como pensaria alguém que não conhece na­ da sobre um software e necessita utiliza­lo, ou como age um estudante iniciante que acessa a web e conse­ gue diversos scripts que demonstram como invadir computadores e decidi testa­los na empresa que se quer proteger. Para ilustrar a situação vou dar um exemplo práti­ co, que ocorre inúmeras vezes na maioria das empre­ sa. Uma organização qualquer, preocupada com a segurança de suas informações, que são um dos seus bens mais valiosos, contrata então um profissional ou um grupo de profissionais para gerencia­las. Esses competentes profissionais, depois de muito discuti­ rem, desenvolvem então uma “Política de Segurança da Informação’ embasada nas mais atualizadas e re­ conhecidas normas sobre o assunto. Em seguida par­ tem para a implantação e para a fase de testes. A eficácia da Política fica então comprovada, com o respaldo de relatórios e mais relatórios contendo to­ dos os testes e seus resultados positivos. A diretoria da empresa fica satisfeitos com os resultados obtidos através desses testes que foram efetuados pela pró­ pria equipe de Segurança da Informação e a empresa passa a dormir mais tranquila, segura de que suas in­ formações estão a salvo de qualquer perigo. Passado algum tempo, descobre­se que arquivos importantíssimos, contendo protótipos de projetos re­ volucionários, foram roubados dos servidores dessa corporação e ainda por cima caíram nas mãos de gru­ pos concorrentes. A alta gerencia então toma a decisão de demitir a equipe de Segurança da Informação, gasta novamen­ te uma grande quantia de dinheiro, investe em uma nova equipe, novos equipamentos de segurança e volta novamente a ter aquela falsa sensação de segu­ rança. Perceberam onde está a falha nesse processo. A mesma equipe responsável por desenvolver a Política de Segurança de Informação da Empresa foi a responsável por testá­la e assegurar a sua eficiên­ cia. Como os profissionais envolvidos no projeto já conheciam a rotina da empresa, conheciam também seus pontos fracos e fortes com relação a segurança de suas informações, não se preocupando em procu­ rar novas brechas ou falhas de segurança. Tudo ocor­ reu bem porque eles sabiam exatamente o que podia dar errada e fizeram o possível para que isso não acontecesse. Mas se esqueceram de pensar um pouco

|17

mais além, de tentar pensar como um invasor proce­ deria se tivesse a intenção de roubar suas informa­ ções. Essa falha ocorre com uma enorme incidência em todas as corporações, acarretando um outro risco, que considero também um dos maiores problemas das empresas que possuem políticas de segurança de suas informações, que é a falsa sensação de segurança, mas esse assunto será tratado em um outro momento, mais oportuno, pois agora o foco é o pensamento restrito e condicionado. Como demonstrei, pensar fora da caixa, ou seja, observar o problema por outro ângulo nem sempre é fácil e exige treino e uma visão abstrata do negócio. Mesmo assim, encontrar falhas em nossas decisões é sempre muito difícil. Qual a solução para o problema então? Nesse caso especifico, acho que o correto a fazer é a contratação de uma empresa para realização de uma auditoria independente. Essa atitude pode pare­ cer uma afronta a equipe de TI num primeiro mo­ mento e ser vista até mesmo com maus olhos pelo corpo diretor da empresa, que além do valor gasto com a equipe de TI tem que gastar outro tanto com a auditoria externa, porém essa é a melhor saída para garantir que as informações estejam num grau ade­ quado de segurança. Voltando ao tema do artigo, “Pensar fora da cai­ xa”, é uma atitude que exija um esforço para que não se caia na mesmice do cotidiano e se passe a acredi­ tar que as possibilidades se resumem aquelas que es­ tão na frente de nossos olhos. Quando se depararem com um problema ou tiverem que criar uma solução, procurem pensar em diferentes direções, com certeza isso os ajudara a enxergar mais longe e descobrir no­ vas possibilidades. Davies Nassaro Técnico em Telecomunicações [Centro Paulo Souza ­ 2000] e Informática [Escolas SENAC ­2002], Li­ cenciado em Computação [Faculdades COC ­ 2007 ­ Menção honrosa pelo Traba­ lho de Conclusão de Curso intitulado "Tec­ nologia e Acessibilidade para Cegos"] e Especialista em Segurança de Redes de Computadores [Instituto AVM ­ 2012, com estudos focados nos crimes de Engenharia Social]. Site/Blog: http://www.invasaoproibida.wordpress.com E­mail: dnassaro@gmail.com Twitter: @invasaoproibida

Setembro 2012 • segurancadigital.info


BYOD: Uma análise jurídica A popularização dos dispositivos móveis, como os smartphones, tablets e notebooks modificou sen­ sivelmente as relações humanas e profissionais, es­ tabelecendo um contato constate do indivíduo com os dispositivos tecnológicos. Esta necessidade constante levou a adoção, por parte das empresas, de um sistema chamado de bring your own device – BYOD (“leve o seu pró­ prio dispositivo”). O BYOD nada mais é do que uma cláusula con­ tratual, tácita ou expressa, na qual o empregador permite ao empregado a utilização de seu dispositi­ vo tecnológico pessoal como instrumento de traba­ lho, acessando dados e programas da empresa, dentro ou fora do local da prestação de serviço. Se portanto, temos a utilização de um bem parti­ cular do empregado na realização de sua atividade profissional, poderia o empregador fiscalizar e mo­ nitorar esse instrumento, por meio do seu poder di­ retivo, previsto no art. 2o da Consolidação das Leis do Trabalho – CLT, lei que regula a relação de em­ prego: “Considera­se empregador a empresa, indivi­ dual ou coletiva, que, assumindo os riscos da atividade econômica, admite, assalaria e dirige a prestação pessoal de serviço.” (grifei), A jurisprudência do Tribunal Superior do Trabalho já se posicionou pela possibilidade de mo­

|18

nitoramento e fiscalização do computador quando este pertencer ao empregador, especialmente no que se refere ao email corporativo: “Entendo que se impõe um tratamento diverso ao e­mail corporativo, instrumento de comunica­ ção virtual, mediante o qual o empregado se utili­ za de terminal de computador, de provedor da empresa e de endereço eletrônico, meios disponi­ bilizados pela própria empresa. Tem por finalidade o tráfego de mensagens de cunho estritamente profissional, com natureza jurídica equivalente a de uma ferramenta de trabalho entregue pelo em­ pregador ao empregado para a realização de suas atividades, visando exclusivamente os interesses da empresa. É sabido por todos que o e­mail corporativo tem por finalidade enviar e receber matérias e as­ suntos afetos única e exclusivamente ao serviço, sendo por isso considerado uma ferramenta eletrô­ nica de trabalho. Neste caso, privilegia­se o exer­ cício do direito de propriedade do empregador sobre o computador, capaz de acessar à INTER­ NET, e sobre o próprio provedor, que, na maioria dos casos, é da própria empresa. Dito isto, tem o empregador o direito de moni­ torar e rastrear a atividade do empregado no ambi­

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

ente de trabalho, de forma a checar suas mensa­ gens, tanto do ponto de vista formal quanto sob o ângulo material ou de conteúdo, pois se mal utili­ zado o correio eletrônico poderá colocar em risco a sua imagem” (grifei). TST­AIRR­58941­ 85.2007.5.01.0052. Contudo, não há posicionamento judicial, e nem previsão legal, quando o instrumento a ser fiscalizado pertencer ao empregado. Poderia um documento interno de politica de segurança da informação (PSI) suprir esta omissão e determinar que, se o empregado utilizar seu equipamento pessoal , deverá permitir a sua fiscalização pelo empregador? Ou seja, poderia uma norma interna determinaR a renúncia da privacidade e da intimidade do trabalhador? Os estudiosos do Direito do Trabalho consideram nula, ou seja, sem validade jurídica, qualquer norma contratual que implique a renúncia dos direitos do empregado, que é a parte mais frágil da relação de trabalho. Mas, se se admitir a fiscalização e o monitora­ mento do dispositivo do empregado, haverá a possi­ bilidade técnica de se resguardar os dados e programas pessoais do empregado? Ou, ainda, poderá o empregador verificar, também, se o dispositivo do empregado utiliza programas piratas, ou se sofreu algum desbloqueio (jailbreak), justificado por razões de segurança? Além disso, o BYOD não implica no uso do dis­ positivo móvel apenas no horário e local de traba­ lho, o que poderá ensejar, por exemplo, o direito ao pagamento de horas extras e adicional noturno ao empregado que exceder a sua jornada de trabalho contratual e, respectivamente, laborar após as 22 horas. Parece que a solução jurídica mais correta é per­ mitir o BYOD para aqueles cargos em que, por ra­ zões de maior confiança ou de impossibilidade de fiscalização pelo empregador, não estão sujeitos aos limites em sua jornada de trabalho. Tais cargos es­ tão previstos no art. 62 da CLT: Art. 62 ­ Não são abrangidos pelo regime previsto neste capítulo: (i.e., que trata dos limites da jornada de trabalho)

externa incompatível com a fixação de horário de trabalho, devendo tal condição ser anotada na Carteira de Trabalho e Previdência Social e no registro de empregados; II ­ os gerentes, assim considerados os exercentes de cargos de gestão, aos quais se equiparam, para efeito do disposto neste artigo, os diretores e chefes de departamento ou filial. Parágrafo único ­ O regime previsto neste capítulo será aplicável aos empregados mencionados no inciso II deste artigo, quando o salário do cargo de confiança, compreendendo a gratificação de função, se houver, for inferior ao valor do respectivo salário efetivo acrescido de 40% (quarenta por cento)”. O emprego do BYOD com o monitoramento e fiscalização por parte do empregador é uma situação traz insegurança jurídica, pois, por ser uma prática nova, não se sabe ainda como os tribunais e os doutrinadores vão compreender. Contudo, vê­se como seguras duas situações: a) o emprego do BYOD pela empresa, sem o monitoramento e a fiscalização, mas com uma política de uso e de conscientização da segurança; b) a utilização do chamado BYOD reverso, ou seja, o equipamento é fornecido pela empresa para o trabalho e, eventualmente, para o uso pessoal do empregado. Nesse caso, e isso dará margem a polêmicas, se admitirá o monitoramento. Portanto, estamos diante de um novo sistema de trabalho, com novas propostas e desafios. Deve­se, sem dúvida, pensar na produtividade, sem suprimir a proteção da privacidade e da intimidade do trabalhador.

Walter Aranha Capanema

Advogado. Professor Coordenador do Curso de Direito Eletrônico da Escola da Magistratura do Rio de Janeiro.

Twitter: waltercapanema E­mail: contato@waltercapanema.com.br Site: waltercapanema.com.br

I ­ os empregados que exercem atividade

|19

Setembro 2012 • segurancadigital.info


Análise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare

Parte 2 (Final)

III ­ Análise Forense Computacional de Ambientes Virtuais In Vivo ou Live Analy­ sis de Ambientes Virtuais Por um longo tempo, a análise forense computaci­ onal utilizava apenas unidades estáticas ou “mortas”. De fato, em muitos casos, esse ainda é o principal método para se encontrar evidências. Nesse tipo de análise forense, muitas vezes as evidências encontra­ das são escassas e, enquanto a tecnologia avança, a análise forense computacional de ambientes virtuais mortos (desligados) confronta­se com desafios como redes mais complexas, maior capacidade de armaze­ namento e criptografia. Com o aumento da quantidade de evidências recu­ peráveis, as investigações do tipo in vivo, ou live, es­ tão se tornando cada vez mais comuns. De fato, muitas organizações de grande porte, especialmente as vinculadas ao governo, alteraram a maior parte de seus tipos de análise forense computacional para a li­ ve analysis, já que em uma grande empresa, preser­ vação de dados pode ser bastante onerosa, uma vez que as evidências obtidas das imagens completas dos discos de vários funcionários podem exigir vários te­ rabytes de armazenamento. Contudo, em determina­ das situações pode não haver escolha, mas para fazer uma investigação do tipo live, torna­se necessário um sistema de arquivos distribuídos ou grandes áreas de

|20

armazenamento de dados. Ante ao exposto, recomenda­se a cópia (não ima­ gem) dos arquivos que montam e carregam a máqui­ na virtual suspeita, em mídias que possam ser asseguradas pela cadeia de custódia. Essa abordagem pode ser empregada para qualquer caso exceto aque­ les em que o servidor de virtualização está sendo usada para influenciar ou corromper as VMs. O arquivo de imagem usado pela VM contém todo o espaço alocado e não alocado na máquina físico, logo se a atividade suspeita estiver no computador original, cópias do arquivo de imagem da máquina virtual, bem como os arquivos associados a ela são suficientes para a investigação forense. No entanto, se houver qualquer possibilidade de corrompimento ou influência externa à VM afetar seus arquivos, es­ tes devem ser visualizados em vez de copiados. Con­ tudo, se o tamanho de alocação da máquina virtual (tamanho do arquivo que monta a máquina virtual) diminuir ao longo do tempo, pode ser que não seja necessário mais do que apenas o sistema de arquivos existentes na VM (VMFS). Estes aspectos ainda es­ tão sendo debatidos por profissionais da computação forense e dependem das especificidades de cada ca­ so. Como há uma grande mudança no cenário da computação atual, com a TI verde impulsionando ca­ Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

da vez mais o conceito e a implementação da conso­ lidação de hardware, as organizações têm, cada vez mais, migrado para ambientes virtuais, o que propicia chances para se proceder a análises forenses compu­ tacionais do tipo live neste tipo de ambientes. Entre­ tanto, há algumas questões específicas relacionadas com esses ambientes que um perito deve estar ciente de quando da condução de uma análise in vivo dos mesmos.

3.1 Fundamentos Todas as análises forenses computacionais exigem que as metodologias utilizadas para coletar evidênci­ as sejam sólidas e assegurem que as provas serão ad­ missíveis em um tribunal. Metodologias forenses computacionais também são baseadas em verificação e repetição. Embora a forense computacional in vivo, ou live, esteja se tornando mais aceitável, ainda exis­ tem algumas questões relacionadas com este tipo de técnica. A questão principal é que investigações do ti­ po live mudam o estado do sistema investigado e seus resultados não podem ser repetidos. Qualquer mudança do estado do sistema e inconsistências de verificação e repetição das evidências vai de encon­ tro aos princípios aceitos no meio da forense compu­ tacional. Até agora, grandes avanços têm sido feitos em relação às limitações impostas na admissibilidade de evidências coletadas através da técnica do tipo li­ ve, mas este tipo de coleta empregada em ambientes virtuais pode ser um pouco mais complicado. Análises forenses computacionais do tipo live aju­ dam a proteger evidências digitais sensíveis e facil­ mente alteráveis, podendo ser realizadas de diferentes maneiras. Muitos pacotes comerciais para forense computacional oferecem a capacidade de controle e monitoramento do ambiente de trabalho (virtualizado ou não). Um pacote pode ser adquirido e os dados que trafegam no ambiente podem ser cole­ tados em tempo real. Outros pacotes permitem coleta e análise in vivo através de navegadores web. Esses aplicativos oferecem os mesmos recursos que um ap­ plet instalado, mas são usados sob demanda ou em um incidente notificado pelo monitoramento. Final­ mente, há a resposta da primeira análise, onde as co­ letas in vivo são feitas mediante a notificação de um incidente. Independentemente do método utilizado para a co­ leta e análise, o princípio da análise forense computa­ cional in vivo é baseado na premissa da coleta de dados a partir de um sistema em execução (ligado) a

|21

fim de se recolher informações pertinentes e que não estejam disponíveis em análises do tipo dead (com o ambiente desligado). Dessa forma, as informações recolhidas nessa técnica normalmente consistem do sistema de dados voláteis, tais como memória, apli­ cações e processos em execução, bem como portas abertas, soquetes e conexões ativas. Ao criar uma imagem forense é necessário se pro­ var que a imagem é uma cópia exata, ou documentar e explicar todas e quaisquer diferenças e como ocor­ reram. Há a possibilidade de se criar uma imagem forense e, em seguida, convertê­la ou copiá­la em um sistema virtual. Contudo, isso se torna um problema quando o caso sob investigação demanda a análise de muitos discos. Porém, já há um novo formato de imagem chamado Advanced Forensic Format que foi projetado para ajudar o perito a lidar com unidades de disco e volume de dados muito grandes, através da alocação de metadados sobre uma unidade com os dados do disco e segmentando­a em partes gerenciá­ veis. Como dito antes, a forense computacional tra­ dicional obriga a criação de uma imagem completa do disco, tornando quase impossível de se realizar uma perícia em terabytes, ou mais, de dados. Para resolver esse tipo de situação, BAWCOM (2009) propõe a utilização de duas técnicas ­ a Live Response e a Live Acquisition. Na primeira, o perito acessa um sistema em execução e coleta informações voláteis e não voláteis, sendo que uma das formas mais práticas para se guardar as informações volá­ teis, além da utilização de ferramentas comerciais, é o uso de um sistema remoto forense, um CD/DVD inicializável, ou um cartão USB. Na segunda, o peri­ to cria uma imagem do disco rígido enquanto o siste­ ma ainda está em execução. Estas duas técnicas desafiam as melhores práticas para resolver proble­ mas que não podem ser resolvidos usando­se as téc­ nicas tradicionais de computação forense. Ante ao exposto, há três regras que devem ser ob­ servadas para se garantir a confiabilidade de evidên­ cias digitais: devem ser produzidas, mantidas e utilizadas em um ambiente normal; serem autentica­ das por um perito; e atender à chamada “regra da melhor evidência”, ou seja, o que foi produzido deve ser a melhor evidência disponível e não um substitu­ to para as evidências oferecidas. A RFC 3227 traz orientações e considerações le­ gais para a coleta e arquivamento de evidências e de­ fine as melhores práticas para resposta a um incidente de segurança, descrevendo os procedimen­ Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

tos de coleta em ordem de volatilidade, do mais volá­ til para o menos volátil e preconiza que uma evidên­ cia digital deve ser: ­ Admissível ­ precisa obedecer a normas legais; ­ Autêntica ­ deve ser probatória para o incidente; ­ Completa ­ deve contar a história toda e não apenas uma determinada perspectiva; ­ Confiável ­ não deve haver dúvidas sobre a autenticidade e a veracidade de sua coleta; ­ Acreditável ­ deve ser facilmente crível e compreensível. Para fins de atendimento eficiente dessas regras e orientações, bem como para a redução dos desafios inerentes às ferramentas forenses, o NIST produziu um conjunto de especificações de teste (especifica­ ções de ferramentas para imagens digitais), destina­ dos a serem utilizados na validação de ferramentas usadas para criar imagens forenses. Essas especifica­ ções garantem que as ferramentas para a criação de imagens de discos produzam imagens forenses con­ fiáveis. Como os ambientes virtuais estão se tornando ca­ da vez mais comuns, em uma análise forense compu­ tacional in vivo, dependendo das ferramentas utilizadas, o ambiente virtual pode ou não ser captu­ rado e analisado de modo a atender o que preconiza a RFC 3227. Para isso, imagine­se um cenário no qual uma organização utiliza uma solução empresarial que inclui uma ferramenta que monitora as estações de trabalho de seus usuários através de um programa de monitoração instalado. A intenção desse ambiente é fornecer aos seus administradores a capacidade de monitorar as máquinas da rede, o que pode ser feito em modo silencioso colocando­se os programas de monitoramento em um servidor sem se alertar os usuários do processo, permitindo que o monitora­ mento seja executado sem ser percebido e transfor­ mando­o em uma ferramenta para fins forenses computacionais. Contudo, mesmo que o monitora­ mento seja silencioso, se o usuário utiliza um ambi­ ente virtual que usa a placa de rede do host, o tráfego pode ser analisado, mas o monitoramento não seria capaz de esmiuçar o ambiente e se restringiria a mos­ trar apenas as atividades do host físico e não do vir­ tual. Esse tipo de cenário foi testado com várias ferra­ mentas, sendo que sua maioria foi ineficiente ao ana­ lisar ambientes virtuais, quando da análise do tráfego

|22

de rede e endereçamento IP, sendo que o monitora­ mento reconhece o ambiente virtual, mas não pode ser nem instalado e nem executado nesse tipo de am­ biente. Entretanto, esse é o resultado mais promissor, pois a ferramenta reconhece o ambiente virtual, uma vez que esses tipos de monitoramentos são projeta­ dos para funcionar interagindo entre o hypervisor e o host. O avanço das técnicas e tecnologias de virtualiza­ ção, bem como a disseminação da implantação de ambientes virtuais, traz consigo também o avanço das ferramentas de monitoração desses tipos de am­ bientes, o que significa que a evolução e aperfeiçoa­ mento das análises forenses dos mesmos irão progredir significativamente, já que todos os desen­ volvimentos recentes para seu gerenciamento provi­ sionamento e monitoramento propiciam aos peritos computacionais forenses formas mais concretas para se encontrar evidências. Entretanto, a combinação da análise forense com ambientes virtuais deve ser cer­ tificada acerca da capacidade de monitoramento das ferramentas para este tipo de ambientes, sendo que outro aspecto interessante é acompanhar o funciona­ mento da monitoração da VM de máquina para má­ quina. Além de ferramentas comerciais, há muitas ferra­ mentas de código aberto para monitoramento e análi­ se de ambientes e máquinas virtuais, como o Netcat, e sua versão de criptografia, o Cryptcat, por exem­ plo. Ambas são gratuitas e usadas, além do monito­ ramento, para criação de imagens forenses de confiança entre o ambiente alvo e a estação forense. Outra ferramenta de código aberto é o Forensic Server Project, que pode ser usado para coleta foren­ se remota. Há, ainda, ferramentas inicializáveis atra­ vés de CD/DVD, dentre as quais se podem citar o DFLCD e o Knoppix STD. Há muitas ferramentas disponíveis que propiciam condições para a análise forense computacional in vivo e que podem ser utili­ zadas para a investigação em ambientes virtuais. Os avanços na capacidade de armazenamento de dados que uma unidade removível pode suportar, bem co­ mo sua velocidade de leitura e escrita e, ainda, sua a possibilidade de inicialização, fazem deste tipo de mídia atraentes para ferramentas de análise forense in vivo, sendo a ferramenta de mais alto nível a CO­ FEE, da Microsoft.

3.2 Artefatos e Evidências Em uma análise forense computacional de ambi­ Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

entes virtuais in vivo, há muitas semelhanças nos ti­ pos e padrões de dados coletados em relação a um ambiente físico, pois em alguns aspectos, as evidên­ cias serão as mesmas tanto em um ambiente físico quanto em um ambiente virtual, tais como: usuários logados, portas abertas, processos em execução, in­ formações de sistema e de registro e dispositivos co­ nectados. Na condução de uma análise forense computacio­ nal de ambientes virtuais in vivo, algumas considera­ ções adicionais são pertinentes para a validação do tipo de ambiente como: saber se o ambiente é físico ou virtual, saber se há virtualização de hardware, de software ou ambas, saber se existem endereços MACs, bem como unidades de hardware específicos e identificáveis. Esses itens podem parecer sem im­ portância, mas podem afetar o resultado de um caso. Ao se fazer a imagem de uma máquina virtual, re­ comenda­se copiar os arquivos de extensão .vm* no mesmo diretório do arquivo vmdk. Devendo­se tam­ bém copiar o arquivo que está listado no arquivo de configuração .vmx, já que este é o arquivo da ima­ gem original usada para se criar a VM. Os arquivos de extensão .vmdk são os arquivos principais da VM. Eles documentam o ambiente vir­ tual e como o mesmo é armazenado. O arquivo de extensão ­delta.vmdk é produzido quando da criação da imagem da máquina virtual ­ momento em que a VM deixa de escrever no arquivo *­ flat.vmdk e pas­ sa a escrever no *­ delta.vmdk. Esse arquivo pode ser útil para se determinar as mudanças que ocorreram na sequência de imagens de uma VM, caso se tenha ferramentas para sua interpretação. Máquinas virtuais também criam um arquivo de extensão .vmsn, o qual contém o conteúdo da memória quando a imagem da VM foi feita. Conforme descrito anteriormente, VMs também produzem um arquivo de extensão .vmss no momento em que a máquina virtual é pausada.

3.3 Arquivos de Processos e Portas Em qualquer análise forense computacional de ambientes virtuais in vivo, é importante se capturar suas portas abertas e serviços, dadas as particularida­ des de cada ferramenta de virtualização. Contudo, as coisas nem sempre são como parecem, logo, é impor­ tante que o perito proceda a análise de processos e portas com cuidado.

3.4 Arquivos de Log A maioria dos fornecedores de virtualização já es­

|23

tá provendo gerenciamento centralizado de recursos para máquinas virtuais, bem como suporte para SNMP e WMI, porém a padronização de logs remo­ tos não está completamente perfeita ainda.

3.5 Uso de Memória A análise da memória é um dos principais compo­ nentes de uma investigação do tipo in vivo. Quando uma máquina virtual é criada, a memória é alocada a ela. Nesse processo, partes da memória disponível no computador físico (memória real) são definidas (alo­ cadas) para uso de cada máquina virtual. Dessa for­ ma, o SO anfitrião (real) possibilita que seu gerenciador de memória defina o swap de memória física (RAM) para as máquinas virtuais alocadas na máquina real. Alterações nas configurações de memória afetam diretamente as máquinas virtuais e o desempenho do sistema. No VMware Server, por exemplo, há limita­ ção do total da quantidade de memória RAM alocada para as máquinas virtuais, a fim de que elas não con­ sumam todo este recurso e façam com que o host en­ tre em colapso. Como regra geral, o total de memória de todas as máquinas virtuais em execução junto ao consumo de todos os processos do VMware Server não pode ser maior do que a quantidade de memória física do hospedeiro (máquina real), excluindo­se a memória adicional reservada ao host para seu funci­ onamento correto, enquanto as máquinas virtuais es­ tiverem em execução. A parte de memória reservada depende do sistema operacional hospedeiro e da quantidade de memória disponível no computador físico. Embora a quantida­ de de memória RAM que o VMware Server utilize possa ser reservada, a memória não é alocada anteci­ padamente e toda o restante não utilizado fica dispo­ nível para uso de outras aplicações, caso as VMs não o estejam o utilizando. No entanto, se toda a memó­ ria RAM estiver em uso pelas VMs, apenas o SO an­ fitrião ou qualquer outra aplicação sua pode usá­la. A sobrecarga de VM varia de acordo com o tama­ nho do disco e a memória alocada (tanto real quanto fisicamente). A fim de se evitar que isso ocorra, as seguintes opções podem ser utilizadas como referên­ cia: ­ Colocar toda a memória da máquina virtual den­ tro de uma área reservada da memória RAM, res­ tringindo a quantidade e o tamanho das memórias das máquinas virtuais em execução para um de­

Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

terminado momento; ­ Permitir que parte da memória da máquina virtual em swap aloque um espaço moderado para troca em disco se necessário; ­ Permitir que a memória das máquinas virtuais fa­ ça swap em disco se necessário. O processo de gerenciamento de memória em má­ quinas virtuais pode afetar a quantidade de informa­ ção recuperável da máquina virtual. Algumas tecnologias de virtualização fazem uso de tabelas de paginação enquanto outras não, exceto em caráter temporário, sendo que através de modificações no kernel é possível se garantir acesso limitado do siste­ ma operacional hóspede às tabelas de paginação da memória física. Para isso, uma tabela de paginação é mantida para prover o acesso virtual entre as páginas de memória virtual do SO convidado (virtual) e as páginas subjacentes da máquina física, protegendo os sistemas operacionais que são convidados de depen­ derem especificamente da memória física, o que per­ mite ao hypervisor otimizar o uso de memória. A virtualização de memória em máquinas virtuais é baseada no mesmo princípio do monitor de máqui­ na virtual (VMM) utilizado para controlar os arqui­ vos de paginação enquanto o sistema operacional mantém uma tabela de endereços de páginas virtuais para cada processo que corresponda aos da página fí­ sica. Nas tecnologias de virtualização mais comuns, pa­ ra aumentar ou diminuir dinamicamente a quantidade de memória alocada às máquinas virtuais, ou um dri­ ver de memória é carregado para o sistema operacio­ nal hóspede, ou a paginação é implementada a partir da VM em um arquivo de swap de servidor. Dessa forma, quando uma máquina virtual é ligada, um ar­ quivo de swap é criado no mesmo diretório que o ar­ quivo de configuração da máquina virtual, sendo que o controlador de memória faz parte do pacote de fer­ ramentas e drivers da VM, os quais se não estiverem instalados, fazem com que o SO anfitrião use a sua área de swap em disco para forçar a recuperação da memória.

3.6 Análise de Memória A análise da memória de alguns ambientes virtu­ ais é mais simples que outras análises. A investigação do conteúdo da memória de uma máquina virtual em um ambiente virtualizado que se utilize do VMware Server ou Workstation é mais facilmente analisado

|24

capturando­se e analisando­se arquivo .vmem, o qual corresponde à sua memória utilizada, que nada mais é que o arquivo de paginação da máquina virtual, ou seja, é um backup da memória principal do sistema operacional convidado. Ele está localizado no siste­ ma de arquivos do host e é criado na inicialização da máquina virtual e para se recuperar esse arquivo é possível pausar a VM e então usar qualquer ferra­ menta de análise para se analisar o arquivo. Sendo que o VMware Server pode funcionar sem o arquivo .vmem. Portanto, se o arquivo não for encontrado, torna­se necessário abrir o arquivo .vmx e caso nele haja a linha mainmem.useNamedFile = “FALSE”, significa que o arquivo .vmem não foi criado. O arquivo .vmem pode ser aberto em editores he­ xadecimais e a partir destes é possível se fazer a ex­ tração de dados e dumping de memória. Porém, cabe ressaltar um problema: quando uma máquina virtual é desligada esse arquivo é apagado do disco. Entre­ tanto, o perito computacional forense deve usar de sua expertise e atentar para o seguinte detalhe: em máquinas virtuais que rodam em VMware há um ar­ quivo chamado vmware.log e que pode ser facilmen­ te aberto e editado por qualquer editor de texto simples. Nesse arquivo há especificado o caminho no disco onde o arquivo .vmem foi criado e referenciado pela última vez, como, por exemplo, algo tipo ./usr/desktop/memory.vmem. De posse dessa infor­ mação (local onde o arquivo .vmem estava) é possí­ vel recuperar o arquivo .vmem que foi apagado do disco com qualquer ferramental para recuperação de dados ­ o que, hoje em dia e com as atuais tecnologi­ as é, de certa forma, bem simples. Assim sendo, de posse desse arquivo (recuperado) pode­se, então, abri­lo em um editor hexadecimal e de lá fazer extra­ ção de dados, dumping de memória, análise forense, ter acesso e se saber o que foi executado por aquela determinada máquina virtual. Existem muitas ferramentas disponíveis para fazer as coletas e análises especificadas ­ desde ferramen­ tas comerciais a ferramentas open­source. A alocação de memória física e memória virtual em máquinas virtuais ocorre através da interação en­ tre o sistema operacional hospedeiro e o ambiente virtualizado. A máquina física virtualiza o gerencia­ mento de memória para o sistema operacional convi­ dado. Como resultado, o acesso direto à memória física real não é permitido pelo sistema operacional convidado. Para isso, o VMM utiliza as tabelas de paginação para mapear a alocação de memória do SO Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

convidado e coordena o mapeamento de memória com a máquina física. Isso posto, a quantidade de memória RAM aloca­ da individualmente para as máquinas virtuais tem o mínimo de impacto sobre o ambiente, devido à forma que o anfitrião (máquina física) reserva memória pa­ ra as máquinas virtualizadas, ou seja, mesmo que mais memória física seja alocada para uma máquina virtual a fim de que ela não acesse muitas vezes a memória virtual, não há nada que acarrete no declí­ nio da quantidade de dados recuperáveis a partir do arquivo de swap mesmo com o aumento da quantida­ de de memória RAM.

IV ­ Análise Forense Computacional de Ambientes Virtuais Post Mortem ou Dead Analysis de Ambientes Virtuais Tradicionalmente, os peritos computacionais fo­ renses usam máquinas virtuais para criar ambientes isolados para análise de malwares e vírus ou para ver o ambiente da mesma maneira que o suspeito, de tal forma que seja possível ao perito iniciar a imagem ou o disco em um ambiente virtual a fim de se visualizar o sistema numa perspectiva em nível de usuário. Essa metodologia propicia um ambiente de configurações controladas que não modificam o sistema operacional hospedeiro e no qual, após o perito proceder as devi­ das análises forenses, quaisquer modificações podem ser descartadas. Dessa forma, a máquina original é preservada e pode ser utilizada sem quaisquer efeitos adversos. Atualmente, em vez de se utilizar ambientes virtu­ ais para se analisar a máquina de um suspeito, os am­ bientes virtuais precisam ser analisados. Como descrito anteriormente, a tecnologia de virtualização é usado em todas as facetas de ambientes corporati­ vos desde o datacenter ao desktop. Além disso, a mo­ bilidade e portabilidade de aplicações permitem maior flexibilidade e facilidade no uso e transporte do seu ambiente de trabalho. Ambientes inteiros po­ dem ser levados em dispositivos portáteis como em uma unidade USB, por exemplo, onde um sistema operacional pode ser fácil e independentemente exe­ cutado. Assim sendo, com uma mídia removível, o único lugar em que a evidência de um delito digital pode se localizar é na memória de acesso aleatório (RAM), a qual é apagada quando o computador é desligado. Esses ambientes, combinados com a possi­ bilidade de se baixar uma máquina virtual da Inter­ net, mudaram o cenário e o contexto das evidências

|25

digitais. Todas essas mudanças tecnológicas trazem novos desafios aos métodos tradicionais de realiza­ ção de análise forense computacional. Muitas perícias forenses computacionais ainda são realizadas utilizando­se o método tradicional da cria­ ção de uma cópia forense (imagem forense) da má­ quina do suspeito através de um bloqueador de escrita em disco e depois usar essa imagem para criar um caso em um software de análise forense (como o FTK, por exemplo). Contudo, esse método não per­ mite ao perito ver dentro da máquina virtual. Em vez disso, deve­se procurar por sinais de que um ambien­ te virtual foi utilizado e, em seguida, montá­lo para se examinar seus arquivos. Como discutido anteriormente, as máquinas virtu­ ais constituem­se de arquivos no disco rígido, os quais podem ser facilmente copiados, excluídos ou armazenados em locais remotos. As tecnologias de virtualização são capazes de fazer uma imagem ins­ tantânea (snapshot) de uma máquina virtual, a qual pode ser posteriormente revertida ao seu estado ori­ ginal (momento em que foi copiada). O conceito por trás dos snapshots é análogo à criação de um ponto de restauração ­ onde e quando são armazenadas to­ das as informações de configuração do sistema para posterior restauração caso seja necessário. Sendo que nos arquivos de snapshots é possível que se haja evi­ dências. A seguir serão abrangidos os principais arquivos de instalação, entradas de registro, artefatos e outros itens que um perito pode encontrar quando se tratar de análise forense computacional de ambientes virtu­ ais. Ademais, como o VMware e o Virtual PC são os gerenciadores de máquinas virtuais e ambientes vir­ tuais mais comuns, ambos serão o foco principal desse subitem e das análises aqui apresentadas. To­ davia, outros ambientes virtuais também serão discu­ tidos a fim de se mostrar sua existência, bem como os procedimentos para sua análise e coleta de evi­ dências.

4.1 Formatos de Imagens de Discos Vir­ tuais Formatos virtuais podem ter diferentes localiza­ ções de arquivos e cabeçalhos de um ambiente real, quando da análise de ambientes virtuais. Os formatos de imagens de discos virtuais são os mais variados, sendo que os tipos mais comuns são: ­ Fixa ­ arquivo de imagem atribuído ao disco fixo

Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

com seu mesmo tamanho. ­ Dinâmica ­ arquivo de imagem que é tão grande quanto os dados que estão sendo escritos em disco, incluindo o tamanho do cabeçalho e do rodapé. ­ Diferenciada ­ representação em bloco do estado do disco virtual comparado ao real. Dentre esses três tipos de formatos de discos vir­ tuais mais comuns, a imagem do tipo dinâmica tem a peculiaridade de ser constantemente ajustada e pode crescer até o tamanho alocado, com um limite máxi­ mo de 2040 gigabytes. O rodapé de um arquivo de disco virtual é a parte fundamental da imagem e é espelhado como um ca­ beçalho antes do arquivo para fins de redundância. Dessa forma, sempre que um bloco de dados é adici­ onado ao arquivo que monta o disco, o rodapé é mo­ vido para o final do arquivo. Uma imagem de disco diferenciada é uma repre­ sentação em bloco do estado do disco virtual compa­ rado ao real. Assim sendo, esse tipo de imagem é dependente do disco real para ser totalmente funcio­ nal. A imagem do disco real pode ser fixa, dinâmica ou diferenciada. Como a imagem diferenciada de dis­ co armazena o localizador de arquivo do disco real dentro de si mesma, quando este tipo de disco é aber­ to por uma máquina virtual, o disco real também é aberto. Se o disco real puder ser um disco diferencia­ do, pode­se então montar uma cadeia de imagens di­ ferenciadas de discos rígidos onde imagens do tipo fixa ou dinâmica podem ser encontradas. Em assim sendo, os formatos de disco rígido são projetados pa­ ra armazenar arquivos localizadores do disco real pa­ ra diferentes plataformas ao mesmo tempo, a fim de apoiar o movimento de discos rígidos entre platafor­ mas. Em imagens de disco dinâmicas e diferenciadas, os dados do campo offset do rodapé da imagem apontam para uma estrutura secundária que fornece informações adicionais sobre a imagem de disco. O cabeçalho da imagem dinâmica aparece em um setor limitado do disco (512 bytes). O primeiro setor de um disco virtual é o MBR (como nos discos reais). A partir dele, as partições no disco virtual podem ser determinadas. Geralmente a primeira entrada é a partição de boot (primária). Através das estruturas para o MBR, o setor de inicia­ lização pode ser determinado. Assim sendo, o setor

|26

de inicialização é o setor de boot da partição e a ca­ deia, desde o primeiro setor até o setor de boot é consistente e pode ser determinada pelo código base­ ado na especificação acima.

4.2 Recomendações Ferramentas de varredura e exploração como snif­ fers, podem ser muito úteis no processo de análise forense computacional de ambientes virtuais. Entre­ tanto, seu emprego requer muita atenção, cautela e expertise pericial, uma vez que os resultados obtidos com suas capturas podem necessitar de informações que requeiram análises adicionais, as quais podem ser mal interpretadas, se não forem minunciosamente investigadas e estudas. Como os dispositivos estão se torando cada vez menores e com maior capacidade, eles podem ser fa­ cilmente escondidos. Assim sendo, os ambientes físi­ cos devem ser examinados de perto e in loco. Na análise de um dispositivo removível, procedi­ mentos para o bloqueamento de escrita são emprega­ dos para se fazer sua imagem forense, mas o perito deve ter cautela e considerar a utilização, pelo drive, de utilitários como o USB Hacksaw e que podem comprometer o exame máquina. Além disso, o uso de ferramentas como o Switchblade, para coleta de in­ formações, pode afetar a máquina do perito e suas análises.

V ­ Considerações Finais Uma das preocupações mais frequentes e atuais no universo da computação é em relação à segurança do uso de virtualização e dos ambientes virtuais, principalmente quanto à integridade do servidor físi­ co quando da invasão de uma máquina virtual. Os sistemas operacionais e aplicativos executados em ambientes virtualizados deixam diferentes tipos de vestígios computacionais para serem analisados, o que resulta em novas evidências e procedimentos na condução de uma investigação quando da ocorrência de um delito digital. Fator este que se agrava devido à falta de técnicas e/ou procedimentos direcionados à execução de sua análise forense computacional. Os desafios enfrentados pelo perito forense com­ putacional ao analisar ambientes virtuais crescem de maneira exponencial. As dificuldades são caracteri­ zadas por diversas formas; uso de programas de este­ rilização de arquivos ou unidades, criptografia, esteganografia e técnicas de ocultação de dados em áreas de discos rígidos não são acessíveis aos siste­ Julho 2012 • segurancadigital.info


ARTIGO Segurança Digital

mas de arquivos tradicionais. A complexidade de re­ cuperar ambientes virtuais aumenta também em fun­ ção da evolução dos processos de fabricação, que permitem unidades com maior capacidade de arma­ zenamento, atualmente medida em termos de teraby­ tes, sendo que a recuperação e análise de máquinas virtuais não podem ser feitas exclusivamente por software e depende de uma análise criteriosa e exper­ tise do perito. A grande abrangência da atividade forense com­ putacional em diversas áreas que envolvem seguran­ ça computacional traz complexidade aos trabalhos a serem realizados na investigação de cada caso. A va­ lidade técnica e jurídica das metodologias para recu­ perar dados de computadores envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos têm que ser tecnologicamente robustos para garantir que toda a informação útil co­ mo prova seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na evidência original seja alterado, adicionado ou ex­ cluído. Os ambientes virtuais podem fazer da investiga­ ção forense uma tarefa difícil, já que a virtualização de hosts, aplicativos e sistemas operacionais tende a deixar as evidências dispersas. Outro problema quan­ do da análise forense computacional de ambientes virtuais é descobrir onde a informação está ou é ar­ mazenada. O perito precisa acompanhar constante­ mente as dinâmicas melhorias e novas técnicas, as diferenças entre os produtos e quais arquivos são in­ teressantes para coleta e análise.

GALVÃO, Ricardo Kléber M. Perícia Forense Computacional. Rio de Janeiro: UNIRIO, 2009. MARINS, Carlos Eduardo. Desafios da Informática Forense no Cenário de Cloud Computing. Brasília: ICOFCS, 2009. MELO, Sandro. Computação Forense Com Software Livre ­ Conceitos, Técnicas, Ferramentas e Estudos de Casos. Rio de Janeiro: Alta Books, 2009. MORRISON, Bruno. Gestão de Riscos em Ambientes Virtuais. São Paulo: Onicommunications, 2009. ORMANDY, Tavis. An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments. California: Google Inc., 2009. VMWARE. Soluções de Virtualização. [S.I.]: VMware Inc., 2011. Disponível em: <http://www.vmware.com/br/solutions/>. Acesso em: 02 maio 2011. WOLF, Chris. Virtualization Tips and Ramblings. [S.I.]: Chris Wolf, 2010. Disponível em: <http://www.chriswolf.com/?page_id=93>. Acesso em: 10 abril 2011.

VI ­ Referências BARRETT, Diane. Virtualization and Forensics ­ A Digital Forensic Investigator’s Guide to Virtual Enviroments. 1ª Edição. Burlington: Syngress, 2010. BAWCOM, A. Virtualization for Security ­ Including Sandboxing, Disaster Recovery, High Availability, Forensic Analysis, and Honeypotting. 1ª Edição. Burlington: Syngress, 2009. CASEY, Eoghan. Handbook of Computer Crime Investigation Forensics ­ Tools and Technology. 2ª Edição. California: Academic Press, 2003.

|27

Deivison Pinheiro Franco Graduado em Processamento de Dados. Especialista em Redes, Suporte a Redes e Ciências Forenses. Arquiteto de Infraestrutura de TI. Professor de Informática Forense, Segurança da Informação, Redes, SO e Arquitetura de Computadores. Perito Forense Computacional e Pentester. Certificações: CEH, CHFI, DSFE e ISO/IEC 27002..

E­mail: deivison.pfranco@gmail.com Link: http://lattes.cnpq.br/8503927561098292

Julho 2012 • segurancadigital.info


|0 |28

Janeiro 2012 Setembro 2012 â&#x20AC;˘â&#x20AC;˘ segurancadigital.info segurancadigital.info


ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios Numa pesquisa da CMI (Chartered Management Institute) junto a seus membros, realizada em janei­ ro de 2012 no Reino Unido, sobre continuidade de negócios, dos gestores cujas organizações não ti­ nham um Sistema de Gestão de Continuidade de Negócios implementado, a grande maioria justificou a sua ausência porque sua organização raramente sofre de eventos perturbadores (54 por cento) e que eles lidam com o rompimento quando ele ocorre (46 por cento). Embora essa seja uma abordagem mais frequente em pequenas organizações, ela não se res­ tringe as mesmas. No Brasil, se comparadas suas características frente a outros países, pode­se afirmar que certa­ mente é um país privilegiado em relação a diversos tipos de catástrofes naturais: não existem terremo­ tos, maremotos, tsunamis, furacões, dentre outros. Há sim ocorrências de inundações, seca, e outras, mas que poderiam ser bem menos trágicas caso fos­ sem feitos os investimentos necessários pelo poder público, principalmente em projetos de prevenção. Mas quando se trata de continuidade de negóci­ os, estes não são os únicos eventos que podem levar a interrupções dos negócios de uma organização. A esta lista, pode­se acrescentar: • Falha de equipamentos (como falha no disco);

|29

• Interrupção do fornecimento de energia ou de telecomunicações; • Falha de aplicativos ou corrupção de banco de dados; • Erro humano, sabotagem ou ataque; • Ataques de software malicioso (vírus, worms, cavalos de Tróia); • Hacking ou outros ataques na Internet; • Agitação social ou ataques terroristas; • Fogo, dentre outros. Algumas das afirmações frequentes por parte de organizações ao justificar a sua falta de preparação, vão desde “Isso não vai acontecer com a gente”, “Nós somos grandes demais para falir”, “Nós não somos um alvo terrorista” até a crença de que a sua companhia de seguros vai pagar por tudo. A maioria acha que não tem o tempo para se preparar para al­ go que nunca irá acontecer. Mas a lista de empresas que faliram após um incidente sugere que estas afirmações são baseadas em falsas premissas. Assim, a implementação de um Sistema de Ges­ tão de Continuidade de Negócios torna­se impres­ cindível a todas as organizações, a fim de antecipar incidentes que possam afetar suas funções de mis­ são crítica e seus processos de negócios, garantindo que possam responder de forma planejada e ensaia­ da a esses incidentes. Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

Gestão de Continuidade de Negócios Segundo o Business Continuity Institute (BCI), Gestão de Continuidade de Negócios (GCN) é um processo holístico que identifica potenciais ameaças para uma organização e os impactos para as opera­ ções de negócios que essas ameaças, se concretiza­ das, podem causar. Ele fornece uma estrutura para a construção de resiliência organizacional com a ca­ pacidade para uma resposta eficaz que salvaguarde os interesses das principais partes interessadas, a re­ putação da marca, e atividades de criação de valor. De acordo com essa definição, uma organização deve examinar os riscos e ameaças a que está expos­ ta e estudar a melhor forma de lidar com um inci­ dente que venha a ocorrer. A escolha da palavra “incidente” em vez de “desastre” é importante, uma vez que o termo “desastre” imediatamente evoca imagens de uma explosão, incêndio ou graves inun­ dações. “Incidente” inclui estas ocorrências, mas abrange também falta de energia, falha de telecomu­ nicações, fraude, contaminação de produtos, e ou­ tros eventos que não se encaixam sob o significado geralmente aceito de desastre. O foco do GCN não é sobre planos e procedimentos para as coisas cotidia­ nas que dão errado, mas sim com incidentes signifi­ cativos que têm um impacto considerável sobre as atividades centrais da organização, assegurando a existência de planejamento, envolvimento significa­ tivo de pessoal adequado, aceitação e posse do pla­ no, e testes completos garantindo uma resposta adequada.

ISO 22301 Neste contexto, a ISO (International Organizati­ on for Standardization) lançou a norma ISO 22301 “Segurança Social – Sistemas de gestão de continui­ dade de negócios – Requisitos”, a nova norma inter­ nacional que vem substituir a norma Britânica BS25999. Como ocorre em outras normas ISO, a ISO 22301 especifica requisitos genéricos, que são apli­ cáveis a todos os tipos de organizações, tais como empresas públicas, privadas ou comunitárias, inde­ pendente da sua dimensão e natureza. Os requisitos, que constituem o escopo da nor­ ma, são para planejar, estabelecer, implementar, operar, monitorar, rever, manter e melhorar continu­ amente um sistema de gestão documentado de modo a preparar uma organização para responder e recu­ perar­se de eventos que possam interromper seu

|30

funcionamento normal, caso ocorram. Para alcançar os objetivos pretendidos pela nor­ ma, a ISO 22301 chama atenção para os seguintes pontos a serem observados pelas organizações na implementação de um SGCN: 1. Compreender as necessidades da organiza­ ção e a necessidade de estabelecer objetivos para/e uma política de gestão de continuidade de negóci­ os; 2. Implementação e operação de controles e de medidas para gerenciar a capacidade global de uma organização, no que respeita à gestão de inci­ dentes que possam causar interrupções nas opera­ ções normais da mesma; 3. Monitoração e avaliação de desempenho e eficácia do SGCN; e 4. Melhoria contínua baseada em medição ob­ jetiva. A estrutura apresentada pela norma segue o pa­ drão do ISO Guide 83, que é a nova estrutura de al­ to nível para normas de sistemas de gestão e termos e definições comuns fundamentais para estes siste­ mas. Apresenta­se assim, formada pelas seguintes cláusulas e atividades:

Cláusula 4: Contexto da organização O objetivo dessa cláusula é buscar um alinha­ mento estratégico entre a Política da Organização (missão, valores, estratégias, objetivos) e sua Políti­ ca de Continuidade de Negócios (objetivos de con­ tinuidade de negócios), através da compreensão das principais questões que surgem a partir da identifi­ cação dos objetivos estratégicos da organização, seus produtos e serviços essenciais, sua tolerância aos riscos e os requisitos legais, regulamentares, contratuais ou das partes interessadas aos quais a organização esteja submetida.

Cláusula 5: Liderança Essa cláusula enfatiza a importância da alta ges­ tão estar comprometida continuamente com o SGCN, uma vez que sua liderança permitirá a cria­ ção de um ambiente onde o sistema de gestão possa operar efetivamente. As responsabilidades designa­ das vão desde a integração dos requisitos do SGCN aos processos de negócio da organização, o forneci­ mento dos recursos necessários para o SGCN, até assegurar que os objetivos e planos são estabeleci­ dos, dentre outras.

Cláusula 6: Planejamento Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

O planejamento é a fase onde se estabelecem os objetivos estratégicos e os princípios que orientarão o SGCN, e devem ser coerentes com a política de continuidade de negócios, definirem o nível mínimo de produtos e serviços aceitável para a organização, ser mensuráveis, considerar os requisitos aplicáveis e monitorados e atualizados conforme as necessida­ des.

Cláusula 7: Apoio/Suporte Essa cláusula trata da utilização dos recursos ne­ cessários para cada uma das tarefas que fazem parte da gestão do SGCN. Abrange pessoas, equipes e serviços de apoio, além das atividades de comunica­ ção interna e externa. Define também as especifica­ ções para garantir que a informação documentada forneça o apoio necessário.

Cláusula 8: Operação Nessa fase, são descritas as atividades a serem executadas para implementar o SGCN e colocá­lo em operação conforme o planejado: • Análise de Impacto de Negócios (AIN): Pro­ cesso de identificação dos processos críticos, suas interdependências e do efeito que a interrupção dos negócios pode ter sobre eles. • Avaliação de Riscos: Processo global de iden­ tificação de riscos, análise de risco e avaliação do risco, sendo recomendado a utilização da ISO 31000 como referência para a sua implementação. • Estratégia de Continuidade de Negócios: De­ finição das estratégias necessárias para garantir que a organização possa recuperar suas atividades críticas tendo como base os requisitos estabeleci­ dos na AIN e na avaliação de riscos, alinhadas com a estratégia global de negócios da organiza­ ção. • Procedimentos de continuidade de negócios: Compreende a documentação dos procedimentos necessários para garantir a continuidade das ativi­ dades e gestão de um incidente disruptivo. Algu­ mas características são esperadas nesses procedimentos, como serem específicos sobre as medidas a serem adotadas, flexíveis no modo de resposta, focados no impacto dos eventos e efici­ entes a ponto de minimizar as consequências dos incidentes. • Procedimentos de exercícios e testes: Processo de validação dos planos de continuidade de negó­ cios e procedimentos definidos, a fim de garantir que as estratégias escolhidas serão capazes de atender os requisitos de recuperação esperados. Diferentes tipos de exercício podem ser utilizados,

|31

e deve­se avaliar os benefícios e desvantagens de cada um, evitando ficar restrito a apenas um dos tipos possíveis.

Cláusula 9: Avaliação de desempenho Essa cláusula define um processo de acompanhamento contínuo do SGCN, através de atividades que consistem em monitoramento do sistema em todas as suas fases, medição do desempenho dos processos, procedimentos e funções, monitoramento do cumprimento da norma e dos objetivos de continuidade de negócios e execução de auditorias internas.

Cláusula 10: Melhoria/Aperfeiçoamento O processo de melhoria contínua é definido como o conjunto de ações que serão tomadas a fim de aumentar a eficácia e eficiência do Sistema de Gestão de Continuidade de Negócios, ampliando os benefícios esperados pela organização e demais partes interessadas. A implementação de um Sistema de Gestão de Continuidade de Negócios tendo a norma ISO 22301 como referência, certamente irá oferecer às organizações que a utilizem a expectativa de alcançarem êxito no desenvolvimento de suas estratégias para garantir que seus processos críticos de negócio estarão preservados em caso de incidentes disruptivos, permitindo a continuidade das operações até a restauração da normalidade. Além deste, que é o principal benefício a ser alcançado na adoção de um SGCN, outros que podem ser citados são: conformidade com normativos, redução de custos com seguros, evitar grandes perdas de receitas, clientes, mercado, e até mesmo evitar o encerramento da companhia. Marcelo Veloso MBA em Gestão de Segurança da Informa­ ção pela Universidade FUMEC, Bacharel em Sistemas de Informação pela Universi­ dade PUC­Minas, com 18 anos de experiên­ cia em TIC, atuando na área de infraestrutura e ocupando cargos de coorde­ nação e gestão. Certificações: MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation e ISO/IEC 27002. Atual­ mente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da Cidade Administrativa de Minas Gerais. Twitter: @MVSecurityBR E­mail: marcelo.veloso@outlook.com Site: www.arya.com.br Setembro 2012 • segurancadigital.info


Novos Desafios da Segurança em Nuvem, com foco em BYOD e Mobilidade No atual ambiente de negócios do Brasil, sobre­ tudo no cenário de crescente mobilidade e de migra­ ção para a nuvem, para uma empresa alcançar consciência situacional e proteger de forma proativa seus ativos críticos de informação, é imprescindível manter o tempo todo conformidade com padrões e normas de segurança e reduzir os riscos dos ativos de informação a um nível desejado. Porém, mais do que simplesmente focar em GRC – governança, ris­ co e compliance, ou na adoção de ferramentas reati­ vas tradicionais de segurança da informação, como firewalls e antivírus, a área responsável pela gover­ nança da segurança deve estabelecer um processo de monitoramento contínuo, que envolva capturar evidências, analisá­las e agir proativamente em apoio à tomada de decisão. Isto pode ser alcançado com base na análise proativa de logs (registros de eventos) e informações de alerta, coletados em tem­ po real de uma ampla variedade de sistemas corpo­ rativos. Contudo, em virtude do volume e da crescente variedade dos dados de segurança envol­ vidos, é impossível conduzir este processo de modo manual. Um gerenciador de eventos e informações de se­ gurança (SIEM) é uma solução de tecnologia emer­ gente, desenvolvida para introduzir maior

|32

inteligência e automação na coleta, correlação e análise de logs e alertas, de modo a permitir que a equipe de segurança da empresa se antecipe às ameaças e se concentre no que é mais estratégico ao negócio. Mas é preciso um SIEM que seja adequado ao atual ambiente de nuvem e de crescente mobili­ dade, e que leve também em conta o baixo desem­ penho da conexão da Internet brasileira. Uma tarefa, sem dúvida, bastante desafiadora. Além disto, existe uma tendência crescente de­ nominada BYOD (bring your own device), em que os colaboradores trazem seus dispositivos móveis ao local de trabalho, usando­os para obter acesso privilegiado a recursos da empresa – como e­mails, banco de dados e servidores de arquivos. Embora a BYOD provoque avanços significativos nos negóci­ os, com funcionários mais produtivos pelo uso da própria tecnologia no trabalho, esta prática pode re­ sultar em sérias violações da política de segurança. É preciso, então, dispor de um complemento a uma solução SIEM, de modo a se obter uma solução integrada que monitore continuamente tais disposi­ tivos móveis de forma transparente, com uso de in­ teligência e armazenamento, permitindo inclusive auditorias e perícias forenses, em conformidade com normas, regulamentações e regras corporativas.

Setembro 2012 • segurancadigital.info


ARTIGO Segurança Digital

Um importante passo é utilizar um sistema de Gerenciamento de Dispositivos Móveis (MDM em inglês, Mobile Device Management), a fim de pro­ teger, monitorar e gerenciar dispositivos móveis. Em geral, um sistema MDM inclui funcionalidades de distribuição de aplicativos OTA (over­the­air), dados e definições de configuração para todos os ti­ pos de dispositivos móveis, incluindo telefones ce­ lulares, smartphones, tablets, computadores móveis, impressoras móveis, dispositivos móveis POS, entre outros. No ambiente corporativo, isso se aplica a ambos os dispositivos de propriedade da empresa e os de seus colaboradores. Embora ao controlar e proteger os dados e definições de configuração para dispositivos móveis na rede, um sistema MDM pos­ sa colaborar na redução dos custos de suporte e dos riscos do negócio, ele não possui a inteligência arti­ ficial para correlacionar eventos nem a capacidade de armazenamento e recuperação de logs, típicas de um SIEM. E como os SIEM mais conhecidos no mercado não costumam lidar com registros de dis­ positivos móveis, resolver este impasse torna­se um admirável desafio. Uma startup brasileira aceitou tal desafio, paten­ teando um SIEM com o citado complemento que monitora e armazena logs de dispositivos móveis. O sistema vem com alguns diferenciais competitivos, tanto em relação ao desempenho – processado em linguagem C para compensar a baixa performance da Internet brasileira – quanto em novas funcionali­ dades, ligadas à nuvem e à mobilidade. Em 2012, a Procela[1] lançou o SIEM Proce­ laUmbra™, que armazena e monitora continuamen­ te, via Web, logs de dispositivos físicos, virtuais ou em cloud. O produto pode funcionar em um appli­ ance local ou na nuvem, e fazer coleta, análise e guarda de enormes volumes de dados. Uma vez na rede, a solução também monitora aparelhos móveis e envia os eventos coletados diretamente ao SIEM. No produto nacional, o acesso aos dados busca mai­ or agilidade por meio do uso de um banco de dados open source, não relacional, orientado a objetos – uma solução inovadora e única, que possui inclusive patente no INPI. O sistema possui um aplicativo complementar, denominado ProcelaGeo™, que monitora eventos em tablets e smartphones com sistemas operacionais iOS e Android, apresentando via Web informações

|33

em modo gráfico ou em relatórios customizáveis. Também faz monitoramento georeferenciado do aparelho móvel, bem como a visualização de seu trajeto passado ou atual (a partir da Web ou de um visualizador, instalado em outro dispositivo móvel); ele permite também execução remota de rotinas de segurança, como apagar informações sensíveis e mesmo tirar e recuperar fotografias remotamente. Finalmente, este primeiro e, atualmente, único SIEM brasileiro parece uma solução que busca atender aos novos desafios trazidos pela nuvem, pe­ la tendência do BYOD e pela crescente demanda de mobilidade ao ambiente corporativo de negócios no país. É ver para crer.

Procela Inteligência em Segurança [1] ­ www.procela.com.br

Paulo Sergio Pagliusi Ph.D. in Information Security – Royal Holloway, University of London. Mestre em Computação – UNICAMP. Pós­Grad. em Análise de Sistemas – PUC­RJ. Certifi­ cados CISM, BS7799LA. Capitão­de­Mar­ e­Guerra da reserva, foi Diretor (CEO) de duas Organizações da Marinha, tendo fundado, no CASNAV, a Divisão de Criptologia. Diretor do ISACA­RJ e da CSA­ BR. Sócio­Diretor da Procela. E­mail: pagliusi@procela.com.br Twitter: @ppagliusi Site: www.procela.com.br

Setembro 2012 • segurancadigital.info


Eventos ISRio ­ Encontro de Gestores e Especialistas em Segurança da Informação Realizado em 10/08/2012, contou com o apoio da Revista Segurança Digital. Os editores­chefe Johnantan Pereira e Luiz Felipe Ferreira estiveram presentes. Este último foi o apresentador do evento. http://www.isrio.com.br/

VII Workshop SegInfo Palestras realizadas entre 31/08/2012 e 01/09/2012. O editor­chefe Luiz Felipe Ferreira foi um dos palestrantes com o tema: "BYOD ­ Você tem uma estratégia para dispositivos móveis?", onde além do tema, apresentou a revista aos presentes. http://www.evento.seginfo.com.br/

|34

Setembro 2012 • segurancadigital.info


Eduardo Fedorowicz (Agenda TI) ­ MBA Gerenciamento de Projetos pela FGV; graduado em Ciência da Computação pela UGF. Mais de 14 anos de experiência em TI, atuando nos últimos 9 anos na área de Segurança de TI. Mantém desde 2011 o site www.agendati.com.br que reúne em um só lugar os principais eventos, congressos e workshops de Segurança da Informação, Inovações Tecnológicas e Tendências de TI. Email: eduardo@fedorowicz.com.br Site : http://www.agendati.com.br Twitter: @fedorowicz @agendati

|35

Setembro 2012 • segurancadigital.info


Parceiros

Venha fazer parte dos nossos parceiros, que apoiam e con­ tribuem com o Projeto Segu­ rança Digital.

|36

Setembro 2012 • segurancadigital.info


PARCEIRO 4Linux

»

Segurança em Servidores Linux

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de pre­ servar o valor que possuem para um indivíduo ou uma organização. São características básicas da segu­ rança da informação os atributos de confidencialida­ de, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de prote­ ção de informações e dados. O conceito de Seguran­ ça Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da In­ formação, incluindo não apenas a segurança dos da­ dos/informação, mas também a dos sistemas em si. O curso Segurança em Servidores Linux ensina o aluno a utilizar ferramentas de segurança FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, possibi­ litando ao profissional de TI propôr modelos de segu­ rança com ferramentas consagradas no mundo do software livre. O curso é fortemente focado na criação de proce­ dimentos de segurança pós­instalação, fazendo com que o sistema se torne mais seguro e conscientize o aluno sobre a importância desses procedimentos e da sua obrigatoriedade em todas as implementações.

Para mais detalhes acesse: http://www.4linux.com.br/cursos/cursos­seguranca. html#curso­508

Quem deve fazer este curso e por que O curso Segurança em Servidores Linux é indica­ do para o profissional de TI que: > Se preocupa com a segurança dos servidores da sua empresa; > Deseja identificar e registrar comportamentos que podem afetar o desempenho dos servidores es­ tando em produção ou em ambientes de testes; > Quer minimizar ou eliminar os principais pro­ blemas e riscos com a segurança da sua infra; > Quer se tornar especialista em segurança da in­ formação e obter a certificação LPIC 3 – Exam 303;

|37

Setembro 2012 • segurancadigital.info


www.ablesecurity.com.br

|38

ANÚNCIO AbleSecurity

Setembro 2012 • segurancadigital.info


PARCEIRO Brasport

Não conseguiu visualizar o QRCode? Então utilize o link abaixo:

www. brasport. com. br/index. php?dispatch=promotions. set&code=segdigital

|39

Setembro 2012 • segurancadigital. info


PARCEIRO Brasport

Sorteio Brasport

Nessa 8ª edição estaremos juntamente com a Brasport sorteando no dia 15/10, uma unidade do Livro (Crimes Cibernéticos), para participar deste sorteio publique no twitter:

Eu quero participar do sorteio (Livro Crimes Cibernéticos) http://kingo.to/1c7m @_SegDigital @Brasport

Descrição

Vários foram os motivos que levaram os autores a escreverem este livro, mas os principais foram contribuir para a segurança virtual no Brasil e preparar policiais e outros integrantes da persecução penal para o combate aos crimes cometidos no âmbito da internet, ou seja, os crimes cibernéticos. Percebeu-se, num momento inicial, que havia a necessidade de se estabelecer, frente às deficiências e vulnerabilidades dos órgãos policiais diante do crescimento do registro dos crimes cometidos em ambientes virtuais e/ou eletrônicos, uma metodologia auxiliar na investigação criminal, qualificando-a.

|40

Setembro 2012 • segurancadigital.info


PARCEIRO HostDime

»

Top 10 Mitos sobre Hospedagem de Sites DETONADO!

Não acredite em tudo que você lê se tratando de hospedagem de sites. Faça sua pesquisa e en­ contre o melhor plano de hospedagem para as ne­ cessidades de sua empresa e de seus clientes. Vamos tornar este processo um pouco mais fácil desvendando os 10 mitos mais comuns sobre hos­ pedagem de sites.

Mito #1 : Hospedagem de sites é intrigan­ te e complicado. MITO DETONADO!

A parte mais difícil sobre hospedagem de sites é criar o seu site a partir de um rascunho. Será ne­ cessário um bom conhecimento sobre o nicho de mercado que você mais gosta de trabalhar. Uma vez que tenha a ideia do site, a parte frustrante es­ tará terminada! Agora é a hora de hospedar seu si­ te em algum lugar.

Mito #2: Todas as empresas de hospeda­ gem de sites irão atender minhas necessi­ dades. MITO DETONADO!

Parabéns, você teve uma ótima ideia para um site que irá te trazer dinheiro e sucesso, desde que não leve a pesquisa sobre seu provedor de hospe­ dagem de forma simples. Seria uma verdadeira vergonha se milhares de pessoas realizassem o acesso ao seu site e verificassem que o servidor estava com problemas ou até mesmo fora do ar. Encontre uma empresa de hospedagem que tenha um 'uptime' garantido e pesquise um plano que seja adequado para você.

Mito #3: Hospedagem gratuita é a melhor opção. MITO DETONADO!

Na realidade, existe uma enorme diferença en­ tre planos de hospedagem pagos e gratuitos. Quando surge um problema, você irá gostar do conforto de ter uma equipe de suporte apta a aju­

|41

dar na resolução do problema. Caso opte por pla­ nos gratuitos, você estará totalmente sozinho na batalha contra inevitáveis complicações. Mais desvantagens, como espaço em disco limitado podem impedir você de conquistar mais dinheiro com sua hospedagem.

Mito #4: É necessário experiência em hospedagem para gerenciar um site. MI­ TO DETONADO!

Gerenciar um site tem se tornado “mamão com açúcar” graças a painéis de controle que aumen­ tam as funcionalidades de seu site. O painel de controle onde todos os elementos chaves de seu site podem ser facilmente encontrados. Criação e gerência de contas, senhas, contas de e­mail, contas FTP, domínios, sub­domínios, páginas de erro, bases de dados MySQL, redirecionamentos, entre tantos outros que poderíamos passar o dia todo apenas listando estas funcionalidades.

Mito #5: É possível ter um site de sucesso sem gastar dinheiro. MITO DETONADO!

Infelizmente temos que dar esta notícia ruim, mas no final, você sabe que é verdade. Hospeda­ gem de sites não é o lugar para ser “pão duro”, se você leva a sério um futuro com lucros e susten­ tabilidade. A competição será acirrada e será ne­ cessário pagar por serviços de SEO para tornar seu site mais completo e “único” em relação a seus concorrentes. Invista seus lucros em seu site e verá sua criação prosperar.

Mito #6: Deve­ se hospedar seu site com a mesma empresa que fez o registro de seu domínio. MITO DETONADO!

Nunca presuma que uma popular empresa de registro de domínios será também uma ótima em­ Setembro 2012 • segurancadigital.info


PARCEIRO HostDime

presa de hospedagem. Muitas pessoas permane­ cem com as empresas que registram seus domíni­ os pela facilidade e por falta de pesquisas. No entanto, a maioria destas pessoas acabam tendo que procurar empresas mais robustas, como a HostDime, na qual encontram ajuda para transfe­ rir o domínio. É possível ainda ter seu domínio registrado com uma empresa e hospedar conosco, bastando uma simples alteração de DNS no órgão de registro original.

Mito #7: As especificações de minha con­ ta não são importantes. MITO DETONA­ DO!

Não podemos enfatizar o suficiente que você deve fazer em pesquisas para descobrir exatamen­ te o que está recebendo de seu provedor de hospe­ dagem. Compare as especificações e opções cuidadosamente. Limite de tráfego e de espaço em disco são itens muito importantes e você será melhor servido encontrando uma empresa que ofereça a opção "ilimitado" para os dois itens.

realizar backups de seus dados é extremamente importante. Você não quer correr o risco de perder o que trabalhou tanto para criar. O cPanel possuí uma ferramenta de backup intuitivo que permite que o dono da hospedagem crie e restaure bac­ kups de seu próprio site. Através de um gerencia­ dor de backup, você terá a habilidade de realizar o backup completo de uma única vez ou realizar um agendamento para que o sistema de backup possa ser executado diariamente, semanalmente ou mensalmente. De qualquer forma, guardar um backup de seus dados no servidor interno de sua empresa ou em hardwares externos é sempre re­ comendável.

Mito #10: Suporte técnico é terceirizado. MITO DETONADO!

Este mito pode ser verdade para muitas outras empresas de hospedagem, porém, não na HostDi­ me. Você estará em contato 24x7x365 diretamente com nossos técnicos para auxiliar em seus siste­ mas ou serviços.

M i t o # 8 : A m a i o r i a d a s e m p r e s a s d e h o s­ pedagem possuem DataCenters indepen­ dentes e certificados. MITO DETONADO!

Muitas empresas de hospedagem darão a en­ tender que possuem DataCenter próprio para pro­ ver seus serviços, porém, a não ser que deixem bem claro este fato, provavelmente não será o ca­ so. Uma provedora de hospedagem que está no comando de seu próprio DataCenter, hardware e suporte, está melhor preparada e apta para prover uma excelente ajuda quando você precisar. A Ex­ emplo da HostDime, onde não terá que lidar com intermediários, pois trabalhamos com DataCenter próprio.

Mito #9: Não é necessário fazer backup de seus dados. MITO DETONADO!

Mesmo que esteja sem nenhum tempo livre,

|42

HostDime Brasil www.hostdime.com.br Setembro 2012 • segurancadigital.info


|43

Setembro 2012 â&#x20AC;˘ segurancadigital.info


PARCEIRO Kryptus

|44

Setembro 2012 â&#x20AC;˘ segurancadigital.info


PARCEIRO HostDime

»

Treina Tux (Sorteios)

O mini­curso de Segurança da TreinaTux, é um curso que aborda os seguintes temas: Fi­ rewall + Squid + Samba, este curso tem dura­ ção de 1 semana (2º á 6º feira) e será ministrado por professores experientes nas áreas, Firewall será ministrado por Paulo Deolindo e Squid + Samba será ministrado por Fabio Barros, ambos com carreira conso­ lidada na área de TIC. Todo administrador de sistemas, indepen­ dente da plataforma, se preocupa com a segu­ rança do mesmo. São exemplos de perguntas comuns entre os administradores e a gestão de uma organização: "Quem pode acessar o servidor e como?" E se... alguém tentar aces­

so aos serviços sem permissão?" E se... al­ guém tentar passar pelo meu firewall?" E se... o diretor quiser fazer uma auditoria nos meus sistemas?". Neste mini­curso muitas dúvidas serão sanadas e o profissional terá a oportu­ nidade de conhecer mais sobre a área de se­ gurança da nformação. As aulas são 100% online com comparti­ lhamento de shell, a TreinaTux trabalha com o número máximo de 15 alunos por turma, para manter a qualidade e a melhor agrega­ ção pedagógica por parte dos alunos. Sorteio de: 2 bolsas 100% 13 bolsas no valor de R$ 250,00

Fique atento em nossas redes Twitter e Facebook, respectiavemente www.twitter.com/_SegDigital e www.facebook.com/segurancadigital pois estaremos publicando instruções para este sorteio.

Confira outros cursos da TreinaTux

|45

Setembro 2012 • segurancadigital.info


NOTÍCIAS Bancos brasileiros investem alto contra frau­ des Com o uso crescente da internet para efetuar pagamentos, a Fe­ deração Brasileira dos Bancos (Febraban) tem registrado tam­ bém aumento nas fraudes ban­ cárias. Para impedir as ações dos criminosos, as instituições investem pesado em tecnologias para aprimorar a segurança das transações e dos dados do cliente, desde softwares até equipamentos que im­ põem uma barreira contra os ataques. No primeiro semestre de 2011, o prejuízo com fraudes em meios eletrônicos foi de R$ 685 milhões, 36% a mais do que no mesmo período do ano anterior, conforme da­ dos da Febraban. Segundo o especialista em seguran­ ça digital da SmartSec e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), Fábio Leto Biolo, os bancos investem alto para evitar fraudes, mas o hábito de resguardar os dados ainda não é muito bem disseminada entre os brasileiros. >> http://migre.me/b2mp6

Site da Campus Party permanece fora do ar devido a protestos O site da Campus Party Brasil permanece fora do ar há 4 dias devido a pro­ testos de usuários com re­ lação ao preço cobrado no ingresso para a edição de 2013. Na última terça­feira, 02, quando seria dado início às vendas dos ingressos para a edição 2013, os ataques começaram. Segundo a organização do even­ to, o site foi sobrecarregado com diversos acessos si­ multâneos e saiu do ar, em um tipo de ataque conhecido como DDoS (negação de serviço). Os ata­ ques são um protesto contra os preços definidos para a edição 2013 do evento. No Twitter (com a hashtag #CPBR6) e no Facebook (com um evento de boico­ te), é possível encontrar usuários insatisfeitos com os novos preços.

Norton aposta em segurança para redes soci­ ais e celulares Na apresentação da linha 2013 de seus apps de segu­ rança, a Symantec mostra que a prioridade agora en­ volve tanto usuários de redes sociais quanto de smartpho­ nes. Há uma forte razão para isso. De acordo com o especialista em segurança cibernética da Norton, Adam Palmer, quatro entre dez brasileiros foram ví­ timas de cibercrime na internet durante 2011. >> http://migre.me/b2mte

Cibercrime custa R$ 16 bi por ano no Brasil O Brasil é, empatado com a Índia, o terceiro país que mais perde com crimes digi­ tais, atrás apenas da China e dos Estados Unidos. Essa é uma das conclusões do estu­ do Norton Cybercrime Report 2012, da Symantec. Nas contas da empresa, o país perde 16 bilhões de reais por ano com crimes digitais. A pesquisa teve a participação de 13 mil adultos com acesso à internet em 24 países. A Symantec diz que as perdas somam 220 bilhões de reais nesses países, que é o valor que os americanos gastam anualmente com fast food. A empresa estima que 556 milhões de pessoas são víti­ mas de crimes digitais por ano, o que equivale a 18 ocorrências por segundo. 42% delas são casos de fraude; e, 17%, de roubo de informações. Cada ata­ que geraria um prejuízo médio de quase 400 reais. >> http://migre.me/b2muH

Contribua com nosso projeto! Envie um email para nossa equipe!

>> http://migre.me/b2mri

contato@segurancadigital.info

|46

Setembro 2012 • segurancadigital.info


COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS Esta seção foi criada para que possamos compartilhar com você leitor, o que andam falando da gente por aí... Contribua para com este projeto: (contato@segurancadigital.info). J. Paulo (por E­ mail) Um belo dia cheguei no escritório para trabalhar e um amigo veio correndo para me apresentar uma revista de segurança disponibilizada gratuitamente na internet, na hora pensei que por ser gratuita não teria um conteúdo de qualidade, após ler duas das mais de 50 páginas notei que estava errado e virei um grande admirador de vocês! Parabéns. Nilson (por E­ mail) Sem sombra de dúvida o conteúdo produzido por essa equipe maravilhosa é de alto nível. Tenho certeza que ainda teremos grandes surpresas. Tive o prazer de conversar pessoalmente com o fundador deste projeto, pelo pouco que conversamos fiquei admirado e surpresso com todos os planos que o Fábio ainda reserva para nós leitores. Vocês não perdem por esperar.

incluir ao menos um tutorial por edição. José (no Site) Uma edição simplesmente show. Essa edição de aniversário trás um conteúdo muito bem elaborado, sem falar é claro dos vários sorteios... Leandro Moura (no Site) Muito boa a revista e essa edição especial deve tá interessante! Baixando pra conferir. Rafaela (no site) Adorei essa edição especial de aniversário. Um artigo melhor do que o outro, sem falar que tudo isso é disponibilizado gratuitamente para download. Vocês são demais! Continuem assim, bela iniciativa Fábio.

Gabriel (por E­ mail) Sempre que uma nova edição é lançada realizo o download na hora, além das revistas em PDF, gostaria de poder possuir uma coleção Revista Segurança Digital impressa. Mas parece que logo breve isso será possível, não vejo a hora de poder fazer isso. Parabéns.

Roberto (no Site) Excelente revista que abre espaço para compartilhament o de conhecimento e conscientização dos profissionais de tecnologia sobre a importância da Segurança no mundo físico e virtual. Fico feliz de participar deste grupo. Parabéns!!!

Sami (por E­ mail) Fábio, na edição de número 5 você escreveu um tutorial sobre como tornar o SSH resistente a brute force, adorei este tutorial. Acho uma ótima ideia

le idy Oliv e ir a ­ @ Le idy olly ( no Twit t e r ) @_SegDigital adoro ler a revista ,muito boa..assuntos interessantes..:)

|47

Setembro 2012 • segurancadigital.info


Segurança Digital 8ª Edição ­ Setembro de 2012

www.segurancadigital.info @_SegDigital

segurancadigital

8_edicao_setembro_30_09_2012  

8_edicao_setembro_30_09_2012

8_edicao_setembro_30_09_2012  

8_edicao_setembro_30_09_2012

Advertisement