Roteiro de Estudos
Roteiro de Estudos
Roteiro de Estudos
Roteiro de
Estudos
Autor: Me. Pietro Martins de Oliveira
Revisor: Rogério Campos
A partir deste roteiro, você passará a entender sobre alguns assuntos de segurança, que irão
possibilitar que faça análises mais completas sobre os cenários de empresas prejudicadas por
ataques e situações impostas por hackers. Isso permitirá consolidar e colocar em prática seus
conhecimentos sobre como mitigar ataques e ajudar essas empresas a se prevenirem.
Introdução
A segurança da informação estuda mitigar toda e qualquer vulnerabilidade que resulte num
ataque digital. Nessa relação, há o empresário, que é o principal agente nesse contexto, uma
vez que ele próprio, muitas vezes, não é capaz de se defender sozinho desses ataques.
Contudo, neste material de estudos, trataremos dessas relações, do pro ssional de segurança
e quando ele é requisitado.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 1/15
06/05/2020 Roteiro de Estudos
Aqui, você terá a oportunidade de vivenciar, por meio de estudos, os principais aspectos da
auditoria de segurança da informação. Além de estudar aspectos relacionados a ataques e
saber reconhecer quais são as demandas por segurança vindas das empresas que vêm
sofrendo golpes.
Características da Segurança da
Informação
Para começar a compreender segurança da informação, devemos pressupor que informação
não se resume ao digital. Um documento de papel também é informação e pode, muitas vezes,
ser informação sensível. A segurança da informação estuda e está fundamentada nos seguintes
princípios:
Na área de segurança, temos diversas ameaças que podem comprometer todos os princípios
supracitados. “Os princípios da segurança da informação podem ser comprometidos com
possíveis ameaças, que podem ser classi cadas em físicas e lógicas” (MORENO, 2015, p. 17-18).
As ameaças físicas estariam relacionadas àquelas de ordem palpável, que acontecem no
mundo real, em detrimento do virtual (p. ex.: alagamentos, raios, terremotos etc.). Já as
ameaças lógicas estão voltadas ao mundo virtual, como malwares, quebra de senha, escuta de
dados (sni ers) etc. (MORENO, 2015).
Sabendo disso, imagine um atacante que faz a interceptação e alteração dos dados de alguém,
e retransmita os dados ao destinatário. Esse é um exemplo de ameaça lógica que se
concretizou em um ataque ao princípio da autenticidade, conhecido na literatura como ataque
Man-In-The-Middle (MitM). Em uma outra situação, considere que o servidor de um e-commerce
se encontra hospedado em uma região de vale, em que recentemente houve uma enchente. O
servidor cou completamente submerso e o e-commerce saiu do ar durante dias. Nesse caso,
temos uma ameaça física se concretizando em uma falha de disponibilidade, em virtude de um
sinistro meteorológico.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 2/15
06/05/2020 Roteiro de Estudos
LIVRO
Manual do Hacker
Autor: Adrian Pruteanu
Editora: Novatec
Ano: 2019
Comentário: com a leitura deste livro, a compreensão das
ameaças e ataques cará muito mais evidente. Assim, você irá
compreender melhor os conceitos da segurança da informação
e todo o seu princípio, não apenas na teoria, mas também na
prática, pois trata das técnicas usadas na área.
Meios de Prevenção
Antes de deixar qualquer sistema à base da sorte, é necessário fazer testes de intrusões para
testar se o sistema está realmente seguro. Atualmente, acredita-se que a maneira mais correta
e completa de se garantir uma segurança que di culte que criminosos digitais invadam seja:
“Para pegar um ladrão, você deve pensar como o ladrão. Essa é a base para o hackeamento
ético. Conhecer o inimigo é absolutamente crucial” (BEAVER, 2014, p. 13).
Invadir um sistema sem nenhum tipo de autorização do dono do sistema é crime federal, tendo
como pena pagar indenização, e, dependendo do que for feito no sistema, pode-se até pegar
cadeia pela invasão. Por isso, é sempre importante ter a autorização do dono do sistema para
que não se tenha nenhum problema com as leis e a justiça: “Obter a aprovação documentada,
como um e-mail, um memorando interno, ou um contrato formal para o seu trabalho de
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 3/15
06/05/2020 Roteiro de Estudos
hackeamento ético – seja dos gestores ou do seu cliente – é uma necessidade absoluta. É a sua
carta branca” (BEAVER, 2014, p. 351).
De acordo com Beaver (2014), a documentação feita para que ocorra a liberação de uma
auditoria de segurança deve ter o projeto do que será feito, uma programação de datas e
horários de quando vão ocorrer e, para nalizar, o que será testado. Após todo esse processo,
pede-se a assinatura das duas partes, de quem fará a auditoria e de quem receberá a auditoria.
Fazendo todo esse processo, o pro ssional de segurança está liberado para adentrar ao
sistema do cliente (BEAVER, 2014, p. 351).
“Sem exceções aqui – especialmente quando você está fazendo um trabalho para seus clientes:
certi que-se de obter a cópia assinada deste documento para seus arquivos” (BEAVER, 2014, p.
351).
Para que os ataques sejam ine cazes e não causem prejuízo às empresas, existem muitas
formas de prevenção. De acordo com Moreno (2015), estas são as principais técnicas para
diminuir a ameaça digital:
Hardware: por exemplo, temos o modem que vem com senhas padrões de fábrica como
(Login: Admin/Senha: Admin), então preocupar-se com o hardware é sim uma maneira e caz e
interessante de mitigar vulnerabilidades e aumentar a defesa.
Revisão do código do sistema: por exemplo, existe uma aplicação rodando, ou seja, um código
está sendo executado. O ideal é que esse código esteja sempre bem escrito, referenciado e de
uma maneira que não dê para colocar novas funções dentro dele, no sentido malicioso.
Detectar o atacante: caso ocorra um ataque ao sistema, tudo será registrado em relação a esse
ataque.
Pentest: uma verdadeira auditoria completa numa empresa, seria mais uma simulação de
ataque para veri car as vulnerabilidades na empresa. Após a auditoria, é feito um relatório
mostrando tudo que foi achado, como foi achado, onde foi achado e como se livrar daquela
vulnerabilidade (MORENO, 2015).
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 4/15
06/05/2020 Roteiro de Estudos
Os aplicativos web são sites ou aplicações web que precisam ser testadas para que sempre
quem disponíveis e intactos: o VoIP seria o teste da conexão via telefone por IP; o Mobile é
muito utilizado nos dias atuais e é interessante que os testes ocorram nesse tipo tecnologia; o
Teste de Stress seria para ver se o servidor aguenta excesso de dados e determinar se o
servidor está sendo atacado tendo uma negação de serviço ou se seria apenas uma má
tecnologia com mau funcionamento (MORENO, 2015).
Até o momento, tratamos das fases da prevenção, mas é preciso que se nalize a ação de
alguma maneira. Primeiro, vimos o que se deve fazer e, em seguida, o que precisa de
autorização e as maneiras de se fazer as prevenções. É importante ressaltar que, após a técnica
mais completa chamada Pentest, deve-se fazer um relatório técnico para que quem está
querendo implantar segurança no próprio sistema saiba onde estão as vulnerabilidades e
como fechá-las.
O Penetration Testing, como é chamado o Pentest, tem algumas fases que devem ser
respeitadas, a m de que, no nal de tudo, a auditoria seja bem feita e o produto entregue
esteja coerente e de acordo. Weidman (2014) relata que a primeira fase de um pentest é a
coleta de informação na qual serão avaliadas as primeiras impressões. Depois das impressões,
o segundo passo é veri car se, por meio desse reconhecimento, foi achada alguma
vulnerabilidade. Caso seja encontrada, deve-se veri car o grau de perigo dela. Após isso, o
terceiro passo seria fazer a exploração dessa falha encontrada e, depois disso, é interessante
ver à qual tipo de risco a empresa está exposta com aquela vulnerabilidade. E, por último, há a
conclusão desses passos em formato de anotação para o contratante do serviço de auditoria
de segurança (WEIDMAN, 2014).
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 5/15
06/05/2020 Roteiro de Estudos
LIVRO
LIVRO
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 6/15
06/05/2020 Roteiro de Estudos
Recursos
Quando se fala em recursos para fazer auditoria na área de segurança da informação,
podemos pular a parte de ter uma internet, computador ou notebook, um hardware básico que
aguente máquinas virtuais e programas de médio peso. Há também os recursos que nos
ajudam a auditar, fazer os testes, programas prontos, e, melhor ainda, se soubermos
programar nas linguagens C e Python. Existe um sistema operacional muito bacana e técnico,
chamado Kali Linux, baseado em debian, criado justamente para auditoria de segurança, seja
para um Pentest interno ou externo:
“Em vez de apontar e clicar no Kali, você usará a linha de comando Linux porque é aí que está a
sua verdadeira e cácia” (WEIDMAN, 2014, p. 89).
O Kali Linux é o mais completo e talvez mais conhecido, contudo têm-se diversas outras
distribuições para se executar com e cácia os testes.
BackTrack
Freshmeat.net
GFI LanGuard
Linux Security Auditing Tool (LSAT)
QualysGuard
SourceForge
THC-Amap
Tiger (BEAVER, 2014, p. 359).
Segundo Beaver (2014), há, resumidamente, três maneiras de se usar o Kali Linux:
Instalar o Kali Linux na máquina física, o que garante um máximo de processamento pois
estará usando todo o hardware.
Instalar o Kali Linux na máquina virtual, o que proporciona ainda um desempenho bom,
contudo apresenta somente meia potência; desse modo, não terá todo o hardware à
disposição.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 7/15
06/05/2020 Roteiro de Estudos
Instalar o Kali Linux em Live CD também tem possibilitado um bom desempenho, porém
terá um desempenho melhor que a máquina virtual e pior que a máquina física (BEAVER,
2014).
Assim, deve-se optar pelo sistema operacional (SO), Kali Linux ou outro SO de sua preferência,
e possuir o conhecimento técnico adequado, sabendo-se o que se vai testar, que tipo de
informação se busca e que tipo de teste será feito. As ações também variam conforme o
sistema operacional ou ferramenta que o atacante utilizar.
LIVRO
Proteção
Nunca se sabe de onde virá o ataque e quem fará esse ataque, e de nada adianta tomar as
medidas mais protetivas do ponto de vista de softwares se ainda há uma das maiores falhas
que existe de um sistema, a falha humana.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 8/15
06/05/2020 Roteiro de Estudos
Compreende-se, assim, que a falha humana é uma ótima saída para os criminosos digitais, e
isso pode causar grandes implicações para quem quer que seja o alvo:
Contudo, o objetivo não é ensinar ao leitor como fazer um ataque de engenharia social, e sim
mostrar que, mesmo com tecnologias de alta performance e de última geração, ainda existem
brechas para que o sistema seja atacado.
Por isso, é importante notar que a falha humana é algo que tem que ser visto pelo pro ssional
que está auditando uma empresa. Deve-se fazer um treinamento básico de políticas de
segurança para que as chances de ocorrer falhas humanas sejam totalmente diminuídas:
Políticas especí cas ajudam a afastar a engenharia social em longo prazo, com
os seguintes passos:
Classi que os dados.
Contrate funcionário e prestadores de serviços e crie Ids de usuário.
Estabeleça o uso aceitável do computador.
Remova Ids de usuário e funcionários, contratados e consultores que não
trabalham mais para a empresa (BEAVER, 2014, p. 73).
Nota-se que a política de segurança é muito importante. As boas maneiras dentro das
empresas evitam muitos tipos de ataques e golpes virtuais, e, dentro dessa política de
segurança, estão a conscientização e treinamento para os funcionários. De acordo com Kevin, o
melhor modo de se proteger de uma engenharia social é o treinamento de seus funcionários,
justamente para que se identi que qualquer tentativa de algum atacante tentar usar o meio da
persuasão para arrancar e conseguir informações que o ajudem a ter um ataque com sucesso
à empresa (BEAVER, 2014).
Compartilhe essas dicas com seus usuários para ajudar a prevenir ataques de
engenharia social:
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 9/15
06/05/2020 Roteiro de Estudos
Nunca divulgue qualquer informação a menos que você possa validar que as
pessoas que pedem a informação precisam dela e que são quem dizem se o
pedido for feito por telefone, veri que a identidade de quem pede e retorne o
telefonema.
Nunca clique em um link de e-mail que supostamente carrega uma página com
a informação que precisa ser atualizada com alguns dados. Isso é
especialmente válido para e-mails não solicitados (BEAVER, 2014, p. 74).
Não só o usuário deve tomar cuidado, como a pessoa que cuida da segurança também deve
tomar medidas especí cas:
Assim, observa-se que a política de segurança é algo muito importante dentro de uma
instituição, uma empresa, um governo ou até na casa de usuários comuns. Aprender a não
colocar um papel colado no monitor com a senha é algo importante. Pode parecer ridículo, mas
acontece diariamente dentro das instituições, e a política de segurança vem justamente para
que boas maneiras sejam seguidas e que não ocorram falhas relacionadas à falha humana.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 10/15
06/05/2020 Roteiro de Estudos
LIVRO
Reportando
Depois de saber o que é a auditoria, seus princípios e como se faz, é muito importante que,
depois que seja realizada, forneça-se o relatório, claro e de fácil leitura, para que o dono do
sistema entenda o que foi feito e quais riscos as vulnerabilidades encontradas podem causar
para o sistema:
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 11/15
06/05/2020 Roteiro de Estudos
O contratante sempre acha que está tendo um “gasto” e não um investimento, e o relatório
será a forma de comprovar e fazer mudar o pensamento dele, mostrando que se trata de um
investimento, uma vez que a está evitando que tenha prejuízo futuramente.
Quando se tem uma grande quantidade de dados dos testes – desde capturas
de tela e observações manuais que foram documentadas até relatórios
detalhados gerados pelos vários rastreadores de vulnerabilidade utilizados –, o
que se faz com tudo isso? Você precisa passar a documentação por um pente
no e destacar todas as áreas importantes. Baseie suas decisões em:
Classi cação das vulnerabilidades feita pelas suas ferramentas de avaliação.
Seu conhecimento como um pro ssional de segurança.
O contexto da vulnerabilidade (BEAVER, 2014, p. 320).
De acordo com Beaver, devem ser informados no relatório problemas não técnicos e técnicos,
desde a infraestrutura até a parte web, bem como apresentar informações totalmente
completas, tanto internas como externas, abrangendo toda a parte de hardware, porém de
uma forma que o contratante consiga entender. Por isso, deve haver essa mescla (BEAVER,
2014).
Classi que cada Vulnerabilidade usando critérios como Alto, Médio e Baixo, ou
uma classi cação de 1 a 5 (em que 1 é a prioridade mais baixa e 5, a mais alta)
para cada uma das considerações. A Tabela 16-1 mostra um exemplo e uma
vulnerabilidade para cada categoria (BEAVER, 2014, p. 322).
No quadro a seguir, veri cam-se quais tipos de separações e legendas devem ser apresentadas
num relatório, ranqueando sempre as vulnerabilidades de acordo com sua probabilidade e
nível de perigo.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 12/15
06/05/2020 Roteiro de Estudos
Probabilidade
Probabilidade alta Probabilidade baixa
média
Informações Backups em ta
Nenhuma senha de
sensíveis o site que não são
administrador em
Alto impacto armazenadas em criptografados e/ou
um sistema do SQL
um laptop protegidos por
SERVER.
criptografado. senha.
Vírus desatualizado
Criptogra a SSL
em um computador Equipe de limpeza
fraca a ser
Baixo impacto autônomo dedicado tendo acesso não
explorada em e-
à navegação na autorizado à rede.
commerce.
Internet.
Quadro 1 - Priorização de vulnerabilidades
Fonte: Beaver (2014, p. 322).
Após identi car e separar o que são vulnerabilidades sem ser falso positivo e ainda conseguir
priorizar as vulnerabilidades e até dividi-las em alta, média e pequena, chega a hora de
apresentar ao gestor o relatório. É interessante colocar o arquivo dele num CD ou pen drive e
apresentá-lo digitalmente, e sempre com uma cópia para cada um dos participantes:
Então, o relatório nal, depois do processo de auditoria, também deve ser feito por meio de um
processo, que é identi car as vulnerabilidades e informar o que é importante. Isso nem sempre
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 13/15
06/05/2020 Roteiro de Estudos
precisa ser feito num nível técnico, ou seja, em alguns momentos é importante utilizar uma
linguagem que todos consigam entender, identi cando as vulnerabilidades que são mais altas
e mais baixas.
LIVRO
Introdução ao Pentest
Autor: Daniel Moreno
Editora: Novatec
Ano: 2019
Comentário: o livro analisa todas as práticas de um ótimo
pro ssional de segurança, não tratando apenas da teoria, e sim
partindo logo para a prática. Ao longo da leitura, aprende-se
que, além de se realizar as técnicas quando se executa uma
auditoria de segurança, é fundamental a entrega do produto
que é o report, e a forma como ele tem de estar escrito para que
as vulnerabilidades sejam entendidas e, posteriormente,
solucionadas.
Conclusão
A partir deste nosso roteiro de estudo, foi possível entender melhor como funciona uma
auditoria de segurança da informação, desde os seus princípios até o momento da entrega do
relatório nal das vulnerabilidades encontradas no sistema para o gestor.
Deve-se saber pelo que está se procurando, além de conhecer os tipos de vulnerabilidades e os
tipos de soluções para mitigar essas vulnerabilidades. Para isso, são necessárias boas
ferramentas e um sistema operacional que ajude a fazer isso com a melhor e cácia possível. E,
após se descobrirem essas vulnerabilidades, é feito o relatório para a apresentação. Todo esse
processo não é demorado, e o pro ssional deve possuir uma capacidade de enxergar coisas
que ninguém consegue notar. Os criminosos são hackers experientes, portanto, para alcançar
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 14/15
06/05/2020 Roteiro de Estudos
BINNIE, C. Segurança em servidores Linux: ataque e defesa. São Paulo: NovaTec, 2017.
MCNAB, C. Avaliação de segurança de redes: conheça sua rede. São Paulo: Novatec, 2017.
WEIDMAN, G. Teste de invasão: uma introdução prática ao hacking. São Paulo: Novatec, 2014.
https://fmu.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 15/15