DETECÇÃO DE INTRUSOS
Index >> Introdução >> Políticas
Ataques a sistemas de computadores de grandes empresas e órgãos nacionais têm se tornado freqüentes e uma preocupação crescente no meio informacional. Mesmo estando todos vulneráveis a este tipo de ataque, agências governamentais são alvos mais cobiçados e costumam revelar estes acontecimentos mais do que empresas comerciais.
Ainda que estatísticas a respeito do crescimento destes ataques possam ser bases mais sólidas para justificar a necessidade pela detecção de intrusos, casos históricos podem ser mais ilustrativos, como seguem abaixo.
“Milhares de computadores penetrados por ataque que roubou e publicou código de software da rede Cisco.[...]
Softwares em roteadores e computadores que controlam a internet foram comprometidos no ano passado por um hacker, provavelmente um jovem na Suécia, que foi classificado como menor de idade, disse o FBI”.
Cnnmoney.com (http://money.cnn.com/2005/05/10/technology/cisco_security/)
10 de Maio de 2005.
"Hackers aparentemente trabalhando da Rússia invadiram sistematicamente os computadores do Departamento de Defesa Americano por mais de um ano e pegaram uma vasta quantidade de informações não classificadas, mas ainda assim relevantes, disseram os oficiais dos Estados Unidos na quarta-feira. Além de penetrar nas defesas do pentágono, os hackers invadiram redes de computadores não classificadas no departamento de energia de armas nucleares e laboratórios de pesquisa da Aeronáutica e Administração do espaço e muitos centros de pesquisa de universidades e contratados de defesa, disse o oficial."
“Cyber-theft of Sensitive U.S. Files Traced to Russia.” Chicago
Sun-Times. 7 de outubro de 1999. [1]
"Na NASA, os ataques são “massivos, realmente muito massivos”, e “muito, muito sorrateiros,” disse a inspetora General Roberta Gross em uma entrevista. “É difícil dizer qual é o estrago”, disse Gross. “Eles não estavam desligando sistemas. Eles estavam pegando lista de arquivos, buscando para ver o que havia nos diretórios das pessoas.” Gross disse que os intrusos também instalaram “ferramentas que permitem que eles voltem mais tarde”. Essas “portas de armadilha” eletrônicas podem ser usadas para se livrar de dispositivos de detecção e ganhar o acesso novamente secretamente."
“Cyber-theft of Sensitive U.S. Files Traced to Russia.” Chicago
Sun-Times. 7 de outubro de 1999. [1]
Essas notícias refletem a natureza séria e sofisticada dos ataques cibernéticos recentes. Isso é realçado pelo fato que, nesses 12 anos passados, o crescimento destes incidentes é reflexo do crescimento da própria internet. Pelo os anos 80, intrusos eram especialistas em sistemas. Eles tinham alto nível de experiência e construíam pessoalmente métodos de invadir sistemas. Hoje em dia, qualquer um pode atacar uma rede, absolutamente – através da grande expansão e disponibilidade de ferramentas de intrusão e exploração de scripts que duplicaram os métodos conhecidos de ataque.
São por esses motivos que o estudo de métodos de detecção de intrusos se faz tão importante.
[topo]
Detecção de Intrusos é conjunto de técnicas que visam monitorar uma rede ou uma estação tentando protegê-los de possíveis invasões e ataques realizados por agentes maliciosos externos. A prática da detecção de intrusos é feita utilizando-se sistemas de detecção de intrusão (também chamados de SDI) que segundo Amorim, M. E. e Maestrelli, M. podem ser definidos como:
“Sistemas de Detecção de Intrusos são programas (softwares independentes ou embutidos em hardware proprietário) que monitoram uma rede ou uma estação a procura de sinais padrões de comportamento que sejam considerados maliciosos, ou seja, que podem constituir um ataque ou uma outra atividade não permitida.” [6]
Os autores citados acima também fazem uma analogia com um sistema de segurança de um aeroporto. Segundo eles, para se ter segurança, é necessário ter-se controle e visibilidade. Em um aeroporto, o controle seriam os guardas que regulam a entrada e saída nos portões. Só é permitida a entrada de pessoas com um ticket e é permitida a saída de qualquer pessoa. Dessa maneira, pessoas portando um ticket (verdadeiro ou falso) podem entrar com objetos não permitidos (faca, arma de fogo, etc) ou podem entrar, roubar uma bagagem e sair sem ter problemas. O fator de visibilidade seriam os sistemas de detecção de metais, câmeras, aparelhos de raio-x de bagagens, detectores de substâncias químicas, dentre outros, que aumentam a eficiência dos guardas por proverem visibilidade sobre o conteúdo do que as pessoas estão carregando. Com esses dispositivos, o aeroporto torna-se muito mais seguro pois os guardas terão mais atributos para avaliar antes de deixar uma pessoa entrar.
“Sem a combinação de controle e visibilidade, neste exemplo, o aeroporto é mais ou menos seguro dependendo de quão bons são os guardas em realizar seu trabalho. Se o guarda for insuficientemente treinado para identificar possíveis ameaças ou muito ocupados com outras tarefas para efetivamente reforçar o controle da entrada, resulta diretamente numa queda da segurança.”[6]
Uma rede de computadores, muitos dos dados presentes são confidenciais e somente usuários autorizados deveriam ter acesso a estes. Portanto, as redes precisam de dispositivos que proporcionem visibilidade sobre o tráfego para auxiliar os dispositivos de controle, garantindo boa segurança.
“O principal dispositivo de controle em uma rede é o firewall (parede de fogo) e estende-se aos roteadores, listas de controle de acesso (ACLs), e permissões de usuários. Já o principal dispositivo que proporciona visibilidade em uma rede é o sistema de detecção de intrusos (SDI) e estende-se aos scanners de vulnerabilidades.” [6]
[topo]