Capítulo 1. Visão Geral de Segurança

Devido ao crescente suporte de computadores de rede poderosos para fazer negócios e manter controle de nossas informações pessoais, as indústrias têm sido constituídas com a prática de segurança nos computadores e nas redes. Empreendimentos têm solicitado o conhecimento e habilidades de peritos em segurança para auditar sistemas apropriadamente e customizar soluções para os requerimentos operacionais das organizações. Já que a maioria das organizações são dinâmicas por natureza, com funcionários acessando os recursos de IT da empresa localmente e remotamente, a necessidade de ambientes de rede seguros se tornou ainda mais acentuada.

Infelizmente, a maioria das empresas (assim como usuários individuais) encaram a segurança como uma preocupação em segundo plano, um processo visto em favor de questões de aumento de poder, produtividade e orçamentárias. Implementações de segurança apropriadas são frequentemente executadas postmortem — após uma intrusão não autorizada já ter ocorrido. Peritos em segurança concordam que as medidas corretas, tomadas antes de conectar um site a uma rede não confiável - como a Internet - é um meio efetivo de impedir a maioria das tentaivas de intrusão.

1.1. O que é Segurança em Computadores?

Segurança em computadores é um termo geral que abrange uma grande área da computação e processamento de dados. Setores que dependem de sistemas de computador e redes para conduzir transações diárias de negócios e acessar informações cruciais, encaram em seus dados como uma parte importante de seus recursos. Diversos termos e medidas foram inseridos em nosso cotidiano, tais como custo total de propriedade (total cost of ownership - TCO) e qualidade de serviço (quality of service - QoS). Nestas medidas, setores calculam aspectos como integridade de dados e alta disponibilidade como parte de seus custos de planejamento e gerenciamento de processos. Em alguns setores, tal como comércio eletrônico, a disponibilidade e confiabilidade de dados pode ser a diferença entre sucesso e fracasso.

1.1.1. Como surgiu a Segurança em Computadores?

Muitos leitores talvez lembrem do filme "Jogos de Guerra," com Matthew Broderick no papel de um estudante colegial que invade o supercomputador do Departamento de Defesa dos EUA (Department of Defense - DoD), e inadvertidamente causa uma ameaça nuclear. Neste filme, Broderick usa seu modem para discar ao computador do DoD (chamado WOPR) e brinca de jogos com o software artificialmente inteligente controlando todos os armazéns de mísseis nucleares. O filme foi lançado durante a "guerra fria" entre a ex União Soviética e os EUA e foi considerado um sucesso em seu lançamento em 1983. A popularidade do filme inspirou muitas pessoas e grupos a começar a implementar alguns dos métodos que o jovem protagonista utilizou para violar sistemas restritos, inclusive o que é conhecido como war dialing — um método de busca de números de telefone para conexões de modem analógicos em uma combinação de determinado prefixo de área e prefixo de telefone.

Mais de 10 anos depois, após uma busca multi-jurisdição de quatro anos envolvendo o FBI (Federal Bureau of Investigation) e a ajuda de profissionais de computação em todo o país, o notório cracker Kevin Mitnick foi preso e processado por 25 fraudes de contas de computador e acesso a dispositivos, que resultaram em perdas de propriedade intelectual e código-fonte da Nokia, NEC, Sun Microsystems, Novell, Fujitsu e Motorola estimadas em US$80 milhões. Na época, o FBI considerou-o como o maior crime relacionado a computadores na história dos EUA. Ele foi condenado e sentenciado a 68 meses de prisão por seus crimes, dos quais serviu 60 meses antes de sua condicional em 21 de Janeiro de 2000. Ele foi proibido de usar computadores ou prestar qualquer consultoria relacionada a computadores até 2003. Investigadores dizem que Mitnick era perito em engenharia social — utilizar indivíduos para ganhar acesso a senhas e sistemas usando credenciais falsificadas.

A segurança da informação evoluiu através dos anos devido à crescente dependência de redes públicas para expor informações pessoais, financeiras e outras informações restritas. Há diversos casos como o de Mitnick e o de Vladamir Levin (consulte a Seção 1.1.2 para mais informações) que surgiram em empresas de todos os setores para repensar a maneira com que lidam com a transmissão e exposição de informações. A popularidade da Internet foi um dos aspectos mais importantes que exigiu um esforço intenso em segurança de dados.

Um número cada vez maior de pessoas está utilizando seu computador pessoal para acessar os recursos que a Internet oferece. De pesquisas e recuperação de informações a correspondência eletrônica e transações comerciais, a Internet é considerada um dos desenvolvimentos mais importantes do século XX.

A Internet e seus protocolos mais antigos, no entanto, foram desenvolvidos como um sistema baseado em confiança. Ou seja, o Protocolo de Internet (IP) não foi desenvolvido para ser intrinsicamente seguro. Não há padrões de segurança aprovados dentro do esquema de comunicação TCP/IP, deixando-o aberto a usuários maldosos e processos através da rede. O desenvolvimento de modems tornou a comunicação via Internet mais segura, mas ainda há diversos incidentes que ganham atenção nacional e nos alertam para o fato de que nada é completamente seguro.

1.1.2. Cronologia da Segurança em Computadores

Diversos eventos-chave contribuíram para o nascimento e crescimento da segurança em computadores. Veja a seguir uma lista de alguns dos eventos mais importantes na história da computação e segurança da informação e sua importância hoje.

1.1.2.1. Os Anos 60

  • Estudantes do Massachusetts Institute of Technology (MIT) formaram o Tech Model Railroad Club (TMRC), que começou a explorar e programar o sistema de computadores de grande porte PDP-1 da escola. O grupo evetualmente usa o termo "hacker" no contexto em que é conhecido hoje.

  • O DoD (Departamento de Defesa dos EUA) cria a Rede da Agência de Projetos de Pesquisa Avançada (Advanced Research Projects Agency Network - ARPANet), que ganha popularidade em pesquisas e círculos acadêmicos como um condutor do intercâmbio eletrônico de informações e dados. Isto pavimentou o caminho para a criação da rede de transporte conhecida hoje como Internet.

  • Ken Thompson desenvolve o sistema operacional UNIX, amplamente aclamado como o sistema operacional mais "hacker-friendly" devido às suas ferramentas acessíveis a desenvolvedores e compiladores e também à sua comunidade de usuários colaborativos. Quase ao amesmo tempo, Dennis Ritchie desenvolve a linguagem de programação C, discutivelmente a linguagem hacking mais popular da história dos computadores.

1.1.2.2. Os Anos 70

  • Bolt, Beranek e Newman, uma empresa de pesquisa e desenvolvimento em computadores para o governo e indústria, desenvolve o protocolo telnet, uma extensão pública da ARPANet. Isto abre portas para o uso público de redes de dados antes restrito a empresas do governo e pesquisadores acadêmicos. O Telnet, no entanto, também é discutivelmente o protocolo mais inseguro para redes públicas, de acordo com diversos pesquisadores em segurança.

  • Steve Jobs e Steve Wozniak fundaram a Apple Computer e começaram a comercializar o computador pessoal (Personal Computer - PC). O PC é o trampolim para diversos usuários maldosos aprenderem a arte do cracking remoto em sistemas, usando hardware de comunicação comum de PC, como modems analógicos e war dialers.

  • Jim Ellis e Tom Truscott criam o USENET, sistema de estilo mural (bulletin-board) para comunicação eletrônica entre usuários díspares. O USENET rapidamente se torna um dos meios mais populares de intercâmbio de idéias em computação, redes, e, obviamente, cracking.

1.1.2.3. Os Anos 80

  • A IBM desenvolve e comercializa PCs baseados no microprocessador Intel 8086, uma arquitetura relativamente barata que trouxe a computação do escritório para casa. Isto serve para transformar o PC numa ferramenta comum e acessível, que era relativamente poderosa e fácil de usar, ajudando a proliferação deste tipo de hardware nos lares e escritórios de usuários maldosos.

  • O Protocolo de Controle de Transmissão (Transmission Control Protocol), desenvolvido por Vint Cerf, é dividido em duas partes distintas. O Protocolo de Internet (IP) surge desta divisão, e o protocolo combinado TCP/IP torna-se o padrão para toda a comunicação via Internet de hoje.

  • Baseada em desenvolvimentos na área de phreaking, ou explorando e hackeando o sitema de telefonia, a revista 2600: The Hacker Quarterly é criada e começa a abordar temas como o cracking e redes de computadores para uma grande audiência.

  • A gang 414 (assim nomeada em função do código de área de onde ela hackeava) é surpreendida pelas autoridades após nove dias de cracking no qual a gang violou os sistemas de uma localização altamente secreta, o Los Alamos National Laboratory, um local de pesquisas de armas nucleares.

  • 'The Legion of Doom' e o 'Chaos Computer Club' são dois grupos pioneiros de crackers que começam a explorar as vulnearbilidades em computadores e redes eletrônicas de dados.

  • O Ato de Fraude e Abuso de Computador de 1986 (Computer Fraud and Abuse Act) foi votado e transformado em lei pelo congresso americano baseado nos exploits de Ian Murphy, também conhecido com Capitão Zap, que violou computadores militares, roubou informações de bancos de dados de pedidos de mercadorias e utilizou os quadros restritos de distribuição de telefone do governo para efetuar ligações telefônicas.

  • Baseado no Ato de Fraude e Abuso de Computador, a côrte pôde condenar Robert Morris, um graduando, por distribuir o vírus Morris Worm para mais de 6.000 computadores conectados à Internet. O próximo caso mais proeminente julgado sob este ato foi o de Herbert Zinn, um colegial que abandonou os estudos, que crackeou e fez mal-uso dos sistemas da AT&T e do DoD (Departamento de Defesa dos EUA).

  • Baseado na preocupação de que a órdea do Morris Worm pudesse ser replicada, é criada a Equipe de Resposta a Emergências de Computador (Computer Emergency Response Team - CERT) para alertar usuários das questões de segurança em redes.

  • Clifford Stoll escreve The Cuckoo's Egg, o resultado de sua investigação sobre crackers que exploraram seu sistema.

1.1.2.4. Os Anos 90

  • A ARPANet é desativada. O tráfego desta rede é transferido para a Internet.

  • Linus Torvalds desenvolve o kernel do Linux para utilização com o sistema operacional GNU. O amplo desenvolvimento e adoção do Linux se deve, em grande parte, à colaboração e comunicação de usuários e desenvolvedores via Internet. Devido às suas raízes no Unix, o Linux é mais popular entre hackers e administradores que o consideram muito útil para elaborar alternativas seguras para servidores legados que rodam sistemas operacionais proprietários (com código fechado).

  • O navegador (browser) gráfico é criado e estimula uma demanda exponencialmente alta por acesso público à Internet.

  • Vladimir Levin é cúmplice da transfência ilegal de US$10 milhões em fundos para diversas contas crackeando o banco de dados central do CitiBank. Levin é preso pela Interpol e quase todo o dinheiro é recuperado.

  • Possivelmente, o precursor de todos os crackers é Kevin Mitnick, que hackeou diversos sistemas corporativos roubando tudo - de informações pessoais de celebridades a mais de 20.000 números de cartões de crédito e código fonte de software proprietário. Ele é preso, condenado por fraude e fica 5 anos na prisão.

  • Kevin Poulsen e um cúmplice desconhecido manipulam sistemas de telefonia de uma estação de rádio para ganhar carros e prêmios em dinheiro. Ele é condenado por fraude e sentenciado a 5 anos de prisão.

  • As histórias de cracking e phreaking se tornam lendas; e muitos crackers em potencial se reúnem na convenção anual DefCon para celebrar o cracking e trocar idéias entre seus pares.

  • Um estudante israelense de 19 anos é preso e condenado por coordenar várias violações aos sistemas do governo americano durante o conflito no Golfo Pérsico. Oficiais militares o chamam de "o ataque mais organizado e sistemático" a sistemas de governo na história dos EUA.

  • A Procuradora dos EUA Janet Reno, em resposta às crescentes violações de segurança aos sistemas do governo, estabelece o Centro de Proteção à Infraestrutura Nacional (National Infrastructure Protection Center).

  • Satélites de comunicação ingleses são tomados e controlados por criminosos desconhecidos. O governo britânico eventualmente se apropria do controle dos satélites.

1.1.3. A Segurança Hoje

Em Fevereiro de 2000, um ataque Distribuído Denial of Service (Distributed Denial of Service - DDoS) foi espalhado a vários servidores de sites de maior tráfego na Internet. O ataque tomou controle do yahoo.com, cnn.com, amazon.com, fbi.gov e vários outros sites completamente inacessíveis para usuários normais, pois bloqueou roteadores por várias horas com transferências de grandes pacotes ICMP, também chamados de ping flood. O ataque foi de autoria desconhecida usando programas criados especialmente e amplamente disponíveis , que sannearam servidores de rede vulneráveis, instalaram aplicações cliente chamadas trojans nos servidores e marcaram um ataque com todos os servidores infectados inundando os sites vítimas e tornando-os indisponíveis. Muitos culparam o ataque à obsolescência da maneira como roteadores e protocolos usados são estruturados para aceitar todos os dados externos, não importando de onde ou para qual propósito os pacotes são enviados.

Isso nos traz ao novo milênio, um tempo em que aproximadamente 400 milhões de pessoas usam ou usaram a Internet no mundo. Ao mesmo tempo:

  • Em dia qualquer, são estimados 225 grandes incidentes de exploração de vulnerabilidade reportados ao Centro de Coordenação da CERT na Universidade Carnegie Mellon [fonte: http://www.cert.org]

  • Em 2002, o número de incidentes reportados à CERT pulou para 82.094, de 52.658 em 2001. No momento da elaboração deste manual, o número de incidentes reportados apenas no primeiro quarto de 2003 é de 42.586. [fonte: http://www.cert.org]

  • O impacto econômico em nível mundial dos três vírus mais perigosos da Internet nos últimos dois anos foi estimado em US$13.2 bilhões. [fonte: http://www.newsfactor.com/perl/story/16407.html]

A segurança em computadores se tornou uma despesa quantificável e justificável em todos os orçamentos de IT. Empresas que requerem iontegridade de dados e alta disponibilidade, evocam as habilidades de administradores de sistemas, desenvolvedores e engenheiros para garantir confiabilidade de seus sistemas, serviços e informações. Cair nas mãos de usuários, processos ou ataques coordenados maldosos é uma ameaça direta ao sucesso da empresa.

Infelizmente, a segurança de sistemas e redes pode ser uma tarefa difícil, que requer o conhecimento complexo de como a empresa encara, usa, manipula e transmite suas informações. Entender a maneira como a empresa (e as pessoas que a constituem) conduz os negócios é primordial para a implementação de um plano de segurança apropriado.

1.1.4. Padronizando a Segurança

Empresas de todos os setores dependem de regulamentações e padrões definidos por associações como a Associação Médica Americana (American Medical Association - AMA) ou o Instituto de Engenheiros Elétricos e Eletrônicos (Institute of Electrical and Electronics Engineers - IEEE). As mesmas idéias valem para a segurança da informação. Muitas consultorias e fabricantes da área de segurança concordam com o modelo de segurança padrão conhecido como CIA, ou Confidentiality, Integrity, and Availability (Confidencialidade, Intergridade e Disponibilidade). Esse modelo de três pilares é um componente geralmente aceito para avaliar riscos às informações delicadas e para estabelecer uma política de segurança. A explicação a seguir detalha o modelo CIA:

  • Confidencialidade — Informações delicadas devem estar disponíveis apenas para um conjunto pré-definido de indivíduos. A transmissão ou o uso não autorizado de informações devem ser restritos. Por exemplo: a confidencialidade da informação garante que as informações pessoais ou financeiras de um cliente não seja obtida por um indivíduo não autorizado para propósitos maldosos como roubo de identidade ou fraude de crédito.

  • Integridade — As informações não devem ser alteradas de modo a torná-las incompletas ou incorretas. Usuários não autorizados devem ter restrições para modificar ou destruir informações delicadas.

  • Disponibilidade — As informações devem estar acessíveis a usuários autorizados sempre que precisarem. Disponibilidade é a garantia de que aquela informação pode ser obtida com uma frequencia e periodicidade pré-definidas. Isto é frequentemente medido em termos de porcentagens e definido formalmente nos Acordos de Nível de Serviço (Service Level Agreements - SLAs) usados por provedores de serviços de rede e seus clientes corporativos.