SEGURANÇA DIGITAL - Aula 2

Prof. Jéfer Benedett Dörr

Departamento de Engenharias e Exatas - UFPR/Palotina

Docente de Segurança da Informação

Aula 2: Definições, Conceitos de Segurança e Ameaças

Definições e Conceitos de Segurança

A segurança em sistemas computacionais é uma área multidisciplinar que envolve:

• Comportamento humano (conscientização, engenharia social):
  • Exemplo: Campanha de phishing em 2023 contra servidores públicos usando e-mails falsos do Gov.br
  • Comando útil: whois dominio-suspeito.com para verificar registro de domínios suspeitos
• Redes (proteção de tráfego, segmentação, isolamento):
  • Caso real: Ataque ao Ministério da Saúde em 2021 que expôs dados de vacinação
  • Comando: nmap -sV 192.168.1.1 para verificar serviços abertos em um IP
• Programação segura (desenvolvimento seguro, validação de entradas):
  • Exemplo: Vulnerabilidade Log4j (2021) que afetou milhares de sistemas
  • Prática: Usar PreparedStatement em Java para prevenir SQL injection

Princípios de Segurança

• Privilégio Mínimo: Usuários e processos operam com o mínimo de permissões necessárias.
• Exemplo prático: No Linux, usar sudo -l para ver privilégios concedidos
• Caso real: Ataque à SolarWinds (2020) explorou contas com privilégios excessivos
• Separação de Privilégios: Múltiplos mecanismos de controle; se um for burlado, outro permanece.
  • Implementação: Sistemas de aprovação em duas etapas para acesso crítico
  • Comando: getfacl /arquivo/sensivel para ver permissões no Linux
• Projeto Aberto (Open Design): Design público, dependendo apenas do segredo de poucos itens, como chaves.
• Eficiência: Mecanismos de segurança não degradam significativamente o desempenho.
• Elo Mais Fraco: A segurança é limitada pelo componente mais vulnerável (SO, bibliotecas, usuário).

Ameaças e Vulnerabilidades

Ameaças

Ações que colocam em risco as propriedades de segurança (CID):

• Exemplos:
  • Processo vasculha memória de outro processo (Confidencialidade).
  • Processo altera senhas ou instala software malicioso (Integridade).
  • Usuário consome todos os recursos do sistema (Disponibilidade).
• Fork Bomb: comando que consome rapidamente todos os processos do SO:
  • Proteção: Configurar limites com ulimit -u 500 para limitar processos por usuário
  • Caso: Ataque a servidores educacionais em 2022 usando fork bombs
  • No Windows (.bat): %0|%0
  • No Linux (bash): :(){ :|:& };:
  Causa negação de serviço, comprometendo a disponibilidade.
• Vazamento de Dados:
  • Ferramenta: git-secrets para prevenir commit de senhas no GitHub
  • Estatística: 60% das organizações brasileiras sofreram vazamentos em 2023 (Relatório Verizon DBIR)

Vulnerabilidades

Falhas no sistema que permitem violar propriedades de segurança, causadas por erros de projeto, implementação, configuração ou operação:

• Erro de Projeto: protocolo WEP inseguro (criptografia fraca).
• Erro de Implementação: bug no serviço de compartilhamento de arquivos do Windows.
• Erro de Configuração: conta de usuário sem senha.
• Erro de Operação: backup via rede sem criptografia.
• Exemplo Real: vazamento de senhas do SUS no GitHub.
• Erros de Configuração:
  • Exemplo: Bucket S3 da Netshoes exposto em 2019 (2 milhões de registros)
  • Ferramenta: aws s3 ls s3://bucket --no-sign-request para testar permissões

  Backup

  Fazer cópias de segurança é fundamental para evitar perda de dados:

  • Tipos de backup:
    • Completo (tudo).
    • Incremental (apenas mudanças desde último backup).
    • Diferencial (mudanças desde último backup completo).
  • Recomendações:
    • Criptografar backups para proteger confidencialidade.
    • Armazenar em local físico diferente do original e manter várias cópias.
    • Testar periodicamente restauração para garantir eficácia.
    • Evitar “backup” de ransomware (não salvar arquivos criptografados sem verificar origem).
  • Implementação Prática:
    • Comando Linux: tar -czvf backup-$(date +%F).tar.gz /dados
    • Script Windows: wbadmin start backup -backupTarget:E: -include:C:
    • Caso: Hospital Sírio-Libanês (2021) recuperou dados após ransomware graças a backups offline
  • Material de apoio: Fascículo Backup - https://cartilha.cert.br/fasciculos/backup/fasciculo-backup.pdf (CERT.br).

  Tipos de Ataques

  • Passivos: observam e capturam informações (rastreio de tráfego, sniffing).
  • Ativos: alteram ou destroem dados, ou degradam serviço:
    • Interrupção: ataca disponibilidade, interrompe fluxo de informações.
    • Interceptação: ataca confidencialidade, obtém dados sem modificar.
    • Modificação: ataca integridade, altera dados sem permissão.
    • Fabricação: ataca autenticidade, gera dados falsos ou insere componentes maliciosos.
  • Man-in-the-Middle:
    • Ferramenta: Wireshark para análise de tráfego
    • Proteção: sudo arpon -i eth0 -d (prevenção ARP spoofing)
  • Localização do Atacante:
    • Local: atacante tem conta no sistema e executa ações internamente.
    • Remoto: atacante explora rede, sem conta local.

  Elevação de Privilégios (Privilege Escalation)

  • Vertical: usuário comum obtém privilégios de administrador/root.
  • Horizontal: usuário assume permissões de outro usuário de mesmo nível.

  Malware (Malicious Software)

  Programas criados para executar ações danosas contra sistemas ou usuários:

  • Ransomware:
    • Dados: Aumento de 150% em ataques a instituições de ensino (2023)
    • Proteção: chattr +i /arquivo/importante (Linux - torna arquivo imutável)

    O comando chattr +i /arquivo/importante em sistemas Linux/Unix define o atributo imutável em um arquivo, protegendo-o contra modificações, exclusão ou renomeação, mesmo por usuários com privilégios de root. É útil para proteger arquivos críticos, como configurações ou backups. Requer privilégios de superusuário e funciona em sistemas de arquivos como ext2, ext3, ext4.
    
    Exemplo:
    1. Criar arquivo: echo "Dados" > /arquivo/importante
    2. Aplicar atributo: sudo chattr +i /arquivo/importante
    3. Verificar: lsattr /arquivo/importante (mostra ----i---------e--)
    4. Tentar modificar: echo "Novo" >> /arquivo/importante (falha com erro)
    5. Remover atributo: sudo chattr -i /arquivo/importante

    • Vírus: código que se infiltra em executáveis, replicando-se quando executado.
    • Worm: se propaga autonomamente pela rede, explorando vulnerabilidades.
    • Trojan (Cavalo de Troia): software aparentemente legítimo, mas com funcionalidades ocultas maliciosas.
    • Exploit: programa que explora vulnerabilidades conhecidas (ex.: exploit-db.com).
    • Sniffer: captura pacotes de rede para coletar informações sensíveis.
    • Keylogger: registra teclas digitadas para roubo de credenciais.
    • Rootkit: conjunto de ferramentas para ocultar presença de intruso no sistema operacional.
    • Backdoor: método de acesso oculto que permite retorno ao sistema invadido.
    • Ransomware: criptografa arquivos do usuário, exigindo resgate pela chave de liberação.
    • Botnets: redes de máquinas zumbis controladas por um atacante; ex.: Rustock – responsável por 40% do spam mundial.
    • Spyware: software que monitora atividade do usuário e envia informações sigilosas sem consentimento.
    • Referência: Fascículo Códigos Maliciosos (CERT.br).

    CERT.br e Internet Segura para Crianças

    • CERT.br: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, mantido pelo CGI.br.
    • Estatísticas:
      • +300% no relato de incidentes em escolas (2020-2023)
      • Ferramenta: abusehelper para análise de logs educacionais
    • Oferece materiais informativos:
      • Curso “Pais Conectados” (gratuito, online) – aborda cyberbullying, exposição, desafios violentos e conteúdos indevidos para crianças.
      • Guia Internet Segura para PaisGuia de Internet Segura - Pais Digital (Gov.br).
      • Guia Internet Segura Guia de Internet Segura - Download (Gov.br), com dicas e práticas de segurança.
    • Atividades lúdicas e personagens para ensinar segurança digital a crianças.
    • Incentiva uso de programas de controle parental e filtros de conteúdo.
    • Outros recursos:
      • Ebook “Internet com Responsa” (nic.br) - https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/fasciculos-cert.br/guia-internet-com-responsa-digital-govbr.pdf
      • Vídeos educativos do antispam.br – “Navegar é preciso”, “Os invasores”.https://antispam.br/videos/
      • Safernet.org.br – campanhas de segurança e denúncia de crimes cibernéticos.https://new.safernet.org.br/
    • Exemplo de iniciativa de divulgação: Professora Drª Michele Nogueira (UFMG) para o Jornal Hoje (TV Globo) no Dia da Internet Segura.https://dcc.ufmg.br/michele-nogueira-professora-do-dcc-alerta-para-cuidados-com-os-golpes-eletronicos-no-dia-da-internet-segura/

    Questão de Auto-revisão

    1. Qual comando Linux pode ser usado para limitar o número de processos por usuário e prevenir fork bombs?

    chmod 755 /proc/limits

    ulimit -u 500

    sudo killall -9 bash

    ps aux --limit-processes=100

    CORRETO! O comando ulimit -u 500 limita o usuário a 500 processos simultâneos.

    INCORRETO. A resposta certa é ulimit -u 500, que configura o limite de processos.

    2. Qual foi o ataque famoso que explorou contas com privilégios excessivos na SolarWinds em 2020?

    Ataque DDoS

    SQL Injection

    Supply Chain Attack

    Phishing Simples

    CORRETO! Foi um ataque à cadeia de suprimentos (Supply Chain) que comprometeu atualizações legítimas.

    INCORRETO. O ataque à SolarWinds foi um Supply Chain Attack que afetou milhares de organizações.

    3. Qual comando AWS verifica se um bucket S3 está publicamente acessível?

    aws s3 cp bucket . --recursive

    aws s3 ls s3://bucket --no-sign-request

    aws ec2 describe-instances --bucket-name

    s3-check-permissions bucket

    CORRETO! O parâmetro --no-sign-request tenta acesso sem credenciais.

    INCORRETO. O comando correto é aws s3 ls s3://bucket --no-sign-request.

    4. Qual vulnerabilidade crítica em bibliotecas Java foi explorada em massa em 2021?

    Heartbleed

    Shellshock

    Log4j (Log4Shell)

    EternalBlue

    CORRETO! Log4Shell (CVE-2021-44228) foi uma vulnerabilidade crítica no Log4j.

    INCORRETO. A resposta certa é Log4j, que afetou milhares de sistemas Java.

    5. Qual princípio de segurança foi violado no vazamento de dados do SUS no GitHub?

    Open Design

    Eficiência

    Privilégio Mínimo

    Elo Mais Fraco

    CORRETO! O princípio de Privilégio Mínimo foi violado ao expor dados sensíveis publicamente.

    INCORRETO. O caso mostrou falha no Privilégio Mínimo, com dados acessíveis além do necessário.