Anti-vírusOs anti-vírus são programas desenvolvidos por empresas de segurança, com o objetivo de detectar e eliminar vírus encontrados no computador. Os anti-vírus possuem uma base de dados contendo as assinaturas dos vírus que podem eliminar. Desta forma, somente após a atualização de seu banco de dados, os vírus recém-descobertos podem ser detectados. Alguns anti-vírus dispõem da tecnologia heurística, que é uma forma de detectar a ação de um vírus ainda desconhecido através de sua ação no sistema do usuário. Hoje em dia os Anti-vírus podem ter "Proteção em Tempo Real" que detecta os códigos maliciosos desde que você inicie o computador até que o desligue. Esta tecnologia torna mais fácil de o utilizador ficar protegido. Os anti-vírus são softwares projetados para detectar e eliminar vírus de computador. Existe uma grande variedade de produtos com esse intuito no mercado, a diferença entre eles está nos métodos de detecção, no preço e nas funcionalidades. Quando Peter Norton, empresário de TI, apagou acidentalmente um arquivo, desenvolveu o Norton Utilities para restaurá-los. Ele criou a Symantec, em 1982, dando início à criação e comercialização de softwares de seguranças no mercado, e livros sobre o assunto. Ele foi um dos primeiros desenvolvedores de sistemas de segurança. A primeira contaminação por um vírus de computador, ocorreu em 1988, utilizando uma BBS como meio. Sendo assim, John McAfee, programador da Lockheed Air Corporation, empresa de aviação americana, desenvolveu o anti-vírus Scan, primeira vacina conhecida. Um dos principais motivos que levam à criação de novos vírus é justamente fazer com eles se espalhem e fiquem nos atormentando por dias, semanas ou até meses. Seus criadores procuram incessantemente falhas em sistemas operacionais, servidores de internet ou aplicativos conhecidos e que estejam instalados na maioria dos computadores do mundo. Uma vez descoberta a brecha, o vírus é lançado. Espalha-se com rapidez assustadora e em poucas horas provoca caos na internet e prejuízos astronômicos.
Anti-espiões (anti-spywares)
Um anti-spyware é um software indicado para eliminar os espiões (spywares), ou, quando pouco, detectá-los e, se possível, desativá-los, enviando-os a quarentena. Tal como os antivírus, necessitam ter sua base de dados atualizada constantemente. Os anti-spywares costumam vigiar certas entradas no registro do Windows para detectar tentativas de infecção, mas eventualmente não conseguem identificar o que está tentando alterar o registro, podendo ser mesmo um spyware ou de fato um vírus.
DdoS
O que são ataques DoS
De acordo com a definição do CERT (Computer Emergency Response Team), os ataques DoS (Denial of Service), também denominados “Ataques de Negação de Serviços”, consistem em tentativas de impedir usuários legítimos de utilizarem um determinado serviço de um computador. Para isso, são usadas técnicas que podem: sobrecarregar uma rede a tal ponto em que os verdadeiros usuários dela não consigam usá-la; derrubar uma conexão entre dois ou mais computadores; fazer tantas requisições a um site até que este não consiga mais ser acessado; negar acesso a um sistema ou a determinados usuários. É importante frisar que quando um computador/site sofre ataque DoS, ele não é invadido, mas sim sobrecarregado. Isso independe do sistema operacional utilizado. Os ataques do tipo DoS mais comuns podem ser feitos devido a algumas características do protocolo TCP/IP (Transmission Control Protocol / Internet Protocol), sendo possível ocorrer em qualquer computador que o utilize. Uma das formas de ataque mais conhecidas é a SYN Flooding, onde um computador tenta estabelecer uma conexão com um servidor através de um sinal do TCP conhecido por SYN (Synchronize). Se o servidor atender ao pedido de conexão, enviará ao computador solicitante um sinal chamado ACK (Acknowledgement). O problema é que em ataques desse tipo, o servidor não consegue responder a todas as solicitações e então passa a recusar novos pedidos. Outra forma de ataque comum é o UPD Packet Storm, onde um computador faz solicitações constantes para que uma máquina remota envie pacotes de respostas ao solicitante. A máquina fica tão sobrecarregada que não consegue executar suas funções.
Ataques DdoS
O DDoS, sigla para Distributed Denial of Service, é um ataque DoS ampliado, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina. Esse é um dos tipos mais eficazes de ataques e já prejudicou sites conhecidos, tais como os da CNN, Amazon, Yahoo, Microsoft e eBay. Para que os ataques do tipo DDoS sejam bem-sucedidos, é necessário que se tenha um número grande de computadores para fazerem parte do ataque. Uma das melhores formas encontradas para se ter tantas máquinas, foi inserir programas de ataque DDoS em vírus ou em softwares maliciosos. Em um primeiro momento, os crackers que criavam ataques DDoS tentavam "escravizar" computadores que agiam como servidores na internet. Com o aumento na velocidade de acesso à internet, passou a existir interesse nos computadores dos usuários comuns com acesso banda larga, já que estes representam um número muito grande de máquinas na internet. Para atingir a massa, isto é, a enorme quantidade de computadores conectados à internet, vírus foram e são criados com a intenção de disseminar pequenos programas para ataques DoS. Assim, quando um vírus com tal poder contamina um computador, este fica disponível para fazer parte de um ataque DoS e o usuário dificilmente fica sabendo que sua máquina está sendo utilizado para tais fins. Como a quantidade de computadores que participam do ataque é grande, é praticamente impossível saber exatamente qual é a máqui
na principal do ataque. Quando o computador de um internauta comum é infectado com um vírus com funções para ataques DoS, este computador passa a ser chamado de zumbi. Após a contaminação, os zumbis entram em contato com máquinas chamadas de mestres, que por sua vez recebem orientações (quando, em qual site/computador, tipo de ataque, entre outros) de um computador chamado atacante. Após receberem as ordens, os computadores mestres as repassam aos computadores zumbis, que efetivamente executam o ataque. Um computador mestre pode ter sob sua responsabilidade até milhares de computadores. Como exemplo real de ataques DDoS ajudados por vírus, tem-se os casos das pragas digitais Codered, Slammer e MyDoom. Existem outros, mas estes são os que conseguiram os maiores ataques já realizados. Na imagem ilustrativa abaixo pode-se notar que as tarefas de ataque DoS são distribuídas a um "exército" de máquinas escravizadas, daí é que surgiu o nome Distributed Denial of Service.
Firewall
Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Os primeiros sistemas firewall nasceram exclusivamente para suportar segurança no conjunto de protocolos TCP/IP. O termo inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores a uma parede corta-fogo (firewall), que evita o alastramento de incêndios pelos cômodos de uma edificação. Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de "appliance"). A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.
História
Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes. Nesta época a expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores. Casos de invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas de telefonia começaram a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente Internet (formado exclusivamente por redes de ensino e governamentais), provocando um verdadeiro "apagão" na rede.
Sistema de prevenção de intrusos (IPS)
Sistema de prevenção de intrusos (em inglês: Intrusion Prevention System) é um sistema, similar ao IDS (Intrusion Detection System), voltado para a prevenção de ataques a redes de computadores. A diferença básica entre um IPS e um IDS é que o primeiro, além de detectar um tráfego anômalo, é capaz de tratá-lo. Com isso, é possível obter um maior grau de segurança nas redes de computadores. Os IPS compõem os sistemas de firewall.
Ipsec
Protocolo de Segurança IP (IP Security Protocol, mais conhecido pela sua sigla, IPSec) é uma extensão do protocolo IP que visa a ser o método padrão para o fornecimento de privacidade do usuário (aumentando a confiabilidade das informações fornecidas pelo usuário para uma localidade da internet, como bancos), integridade dos dados (garantindo que o mesmo conteúdo que chegou ao seu destino seja a mesma da origem) e autenticidade das informações ou identity spoofing (garantia de que uma pessoa é quem diz ser), quando se transferem informações através de redes IP pela internet. IPSec é um protocolo que opera sob a camada de rede (ou camada três) do modelo OSI. Outros protocolos de segurança da internet como SSL e TLS operam desde a camada de transporte (camada quatro) até a camada de aplicação (camada sete). Isto torna o IPsec mais flexível, como pode ser usado protegendo os protocolos TCP e UDP, mas aumentando sua complexidade e despesas gerais de processamento, porque não se pode confiar em TCP (camada quatro do modelo OSI) para controlar a confiabilidade e a fragmentação.
De acordo com Eduardo Rapoport do Departamento de Engenharia Eletrônica e de Computação (DEL) da Escola Politécnica/Universidade Federal do Rio de Janeiro o IPSec combina diferentes e diversas tecnologias para prover uma melhor segurança, garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-the-middle (onde o atacante se faz passar pela outra parte em cada um dos sentidos da comunicação); algoritmos de encriptação para grandes volumes de dados, como o DES (Data Encryption Standard); algoritmos para cálculo de hash (resto de uma divisão, de tamanho fixo) com utilização de chaves, com o HMAC, combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes e certificados digitais assinados por uma autoridade certificadora, que agem como identidades digitais.
Sistema de detecção de intrusos (IDS)
Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação cracker ou até mesmo funcionários mal intencionados. Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina. IDS baseadas em rede monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a desempenho da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo. Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até mesmo no pacote inteiro, impedindo e ou dificultando o entendimento dos dados por entidades que não sejam o seu real destinatário. Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes. Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para terminar as conexões ou até mesmo interagir com um firewall. Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP que é bastante utilizada em soluções de VPN. Existem dois modos de funcionamento, o modo transporte e o modo túnel, descritos na RFC2401 de Atkinson Kent (1998). No modo de transporte o IPSec é similar ao SSL, protegendo ou autenticando somente a área de dados do pacote IP; já no modo túnel o pacote IP inteiro é criptografado e encapsulado. Como pode ser notado no modo transporte um IDS pode verificar somente o cabeçalho do pacote, enquanto o modo túnel nem o cabeçalho e nem a área de dados.
IDS em redes com switches
A implementação de IDSs em redes comutadas (no caso baseadas em switching) permitem a comunicação direta, não compartilhada entre dois dispositivos. Essa característica introduz algumas dificuldades para a implementação de IDSs se comparada às redes com transmissão por difusão. Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a difusão) torna-se preciso, na implantação de IDSs, algumas soluções específicas. O uso de Port Span consiste na utilização de switches com IDS embutidos. A decisão de sua utilização deve ser discutida antes da compra dos concentradores de rede (switches). O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma "escuta" posicionada entre um switch e um equipamento de rede que se deseja monitorar. Um meio bastante barato de se fazer isso é a colocação de um concentrador de rede por difusão (hub) na conexão que se deseja vistoriar. No caso de fibras ópticas basta adicionar um dispositivo chamado optical tap. O uso de Port Mirror consistem em fazer no switch o espelhamento do tráfego de uma única porta para outra usada para o monitoramento. Esse método é semelhante ao wire tap, porém é implantado no próprio switch.
