UFCD_10392_Intervenção em populações de risco_índice .pdf
Tipos de vírus e firewall
1. ETEMAC
Aluna: Mariana Brito da
Fonseca
Professor: Marcone Araújo
Disciplina: SDI
Turma: 2°B Redes de
Computadores
2. É um software malicioso que vem sendo
desenvolvido por programadores que, tal
como um vírus biológico, infecta o
sistema, faz cópias de si mesmo e tenta
se espalhar para outros computadores,
utilizando-se de diversos meios.
3. CLASSIFICAÇÃO
• Vírus de Boot: Um dos primeiros tipos de vírus
conhecido, o vírus de boot infecta a parte de
inicialização do sistema operacional. Assim, ele é
ativado quando o disco rígido é ligado e o Sistema
Operacional é carregado.
• Time Bomb: Os vírus do tipo "bomba-relógio" são
programados para se ativarem em determinados
momentos, definidos pelo seu criador. Uma vez
infectando um determinado sistema, o vírus somente
se tornará ativo e causará algum tipo de dano no dia
ou momento previamente definido. Alguns vírus se
tornaram famosos, como o "Sexta-Feira 13",
"Michelangelo", "Eros" e o "1º de Abril (Conficker)".
4. •
•
Minhocas, worm ou vermes: Como o interesse de fazer um vírus é ele se espalhar da forma
mais abrangente possível, os seus criadores por vezes, deixaram de lado o desejo de danificar
o sistema dos usuários infectados e passaram a programar seus vírus de forma que apenas se
repliquem, sem o objetivo de causar graves danos ao sistema. Desta forma, os seus autores
visam a tornar suas criações mais conhecidas na Internet. Este tipo de vírus passou a ser
chamada de verme ou worm. Eles estão mais aperfeiçoados, já há uma versão que ao atacar a
máquina hospedeira, não só se replica, mas também se propaga pela INTERNET, pelos e-mails
que estão registrados no cliente de e-mail, infectando as máquinas que abrirem aquele e-mail,
reiniciando o ciclo.
Cavalos de Tróia (Trojans):Certos vírus trazem em seu bojo um código a parte, que permite a
um estranho acessar o micro infectado ou coletar dados e enviá-los pela Internet para um
desconhecido, sem notificar o usuário. Estes códigos são denominados de Trojans ou Cavalos
de Tróia. Apesar de popularmente costumar-se denominar “vírus” qualquer ataque à
segurança do computador, de acordo com o CERT.br (2012, p. 113), o vírus e o Cavalo de Tróia
são tipos distintos de código malicioso (malware). Os vírus eram, no passado, os maiores
responsáveis pela instalação dos Cavalos de Tróia como parte de sua ação, pois eles não têm a
capacidade de se replicar. Atualmente, os Cavalos de Tróia não mais chegam exclusivamente
transportados por vírus, mas instalados quando o usuário baixa um arquivo da internet e o
executa. Prática eficaz devido a enorme quantidade de e-mails fraudulentos que chegam
nas caixas postais dos usuários. Tais e-mails contém um endereço na Web para a vítima baixar
o Cavalo de Tróia, ao invés do arquivo que a mensagem diz ser. Esta prática se
denomina phishing. A maioria dos Cavalos de Tróia visam a sites bancários, "pescando" a senha
digitada pelos usuários dos micros infectados. Há também Cavalos de Tróia que ao serem
baixados da internet veem "guardados" em falsos programas ou em anexos de email, encriptografam os dados e os comprimem no formato ZIP. Um arquivo .txt dá as "regras
do jogo": os dados "seqüestrados" só serão "libertados" mediante pagamento em dinheiro
para uma determinada conta bancária, quando será fornecido o código restaurador.
5. •
•
•
Hijackers: Hijackers são programas ou scripts que "sequestram" navegadores de
Internet. Quando isso ocorre, o hijacker altera a página inicial do browser e
impede o usuário de mudá-la, exibe propagandas em pop-ups ou janelas novas,
instala barras de ferramentas no navegador e podem impedir acesso a
determinados sites (como sites de software antivírus, por exemplo).
Estado Zombie: O estado zombie em um computador ocorre quando é infectado e
está sendo controlado por terceiros. Podem usá-lo para disseminar, vírus,
keyloggers, e procedimentos invasivos em geral. Usualmente esta situação ocorre
pelo fato da máquina estar com seu Firewall e ou Sistema Operacional
desatualizados. Segundo estudos na área, um computador que está na internet
nessas condições tem quase 50% de chance de se tornar uma máquina zumbi, que
dependendo de quem está controlando, quase sempre com fins criminosos, como
acontece vez ou outra, quando crackers são presos por formar exércitos zombies
para roubar dinheiro das contas correntes e extorquir. Os vírus de macro (ou
macro vírus) vinculam suas macros a modelos de documentos gabaritos e a outros
arquivos de modo que, quando um aplicativo carrega o arquivo e executa as
instruções nele contidas, as primeiras instruções executadas serão as do vírus.
Vírus de macro: são parecidos com outros vírus em vários aspectos: são códigos
escritos para que, sob certas condições, este código se "reproduz", fazendo uma
cópia dele mesmo. Como outros vírus, eles podem ser escritos para causar danos,
apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer.
Resumindo, um vírus de macro infecta os arquivos do Microsoft Office.
7. Já em 1987, o Lehigh foi o primeiro a infectar o
command.com, um software básico do sistema operacional DOS, e o
Suriv-02 infectava arquivos executáveis .exe. O Suriv (Virus, escrito ao
contrário) era uma série que culminaria no Jerusalem, vírus ativado
todas as sextas-feiras 13, que apagava qualquer arquivo acessado
nesses dias. Ao lado destas pragas, um programa que se replicava
rapidamente (cerca de 500 mil cópias por hora), batizado de Christmas
(Natal, em inglês), atingiu grandes computadores da IBM.
Golpes por meio de programas começaram a circular em 1989,
um software supostamente com informações sobre a AIDS
criptografava o disco rígido ao ser instalado. A chave para recuperar os
dados só era fornecida com o pagamento de uma taxa ao autor. No
mesmo ano em que surgiu o primeiro livro sobre criação de vírus e o
primeiro fórum de trocas de arquivos e informações sobre vírus, 1990,
a Norton lançou seu antivírus. Os desenvolvedores de vírus
responderam à iniciativa com programas como o Tequila, primeiro
vírus polimórfico, que se modifica a cada infecção para evitar ser
detectado.
8. Em 2000, aconteceram os primeiros ataques distribuídos de
negação de serviço sérios, que paralisaram sites como Yahoo! e
Amazon. O worm LoveLetter, que no Brasil ficou conhecido como "I
Love You", também derrubou vários serviços de e-mail, por sua
velocidade de replicação. No mesmo ano surgem os primeiros códigos
maléficos para Palmtops, para sistemas de telefonia integrados à
Internet, para sistema de arquivos do Windows NT e para a linguagem
de programação PHP.
Os primeiros vírus a infectar tanto sistemas Windows quanto
Linux foram lançados em 2001. Nesse ano também surgiram os
primeiros worms a se distribuírem por sistemas de trocas de arquivos,
pelo programa de bate-papo Mirc, os baseados na linguagem de
programação AppleScript, dos computadores Macintosh, e os que
infectavam os softwares de PDF da Adobe. Os worms Nimda, CodeRed
e Sircam também atacaram em 2001.
Em 2003, as técnicas de programação aliaram-se de forma
intensiva à engenharia social nos chamados "phishing scams", golpes
que tentam enganar o destinatário de e-mails falsos imitando o visual
de grandes empresas e órgãos governamentais. O Sobig aliava seu
próprio servidor de envio de mensagens a um sistema que permitia
seu uso remoto por spammers. Outro worm, batizado de Blaster,
atacava uma vulnerabilidade de um componente do Windows e se
disseminou rapidamente. O Slammer, que atacava servidores SQL 2000
da Microsoft, também atacou nesse mesmo ano.
9. É um dispositivo de uma rede de
computadores que tem por objetivo aplicar
uma política de segurança a um determinado
ponto da rede. O firewall pode ser do
tipo filtros de pacotes, proxy de aplicações,
etc. Os firewalls são geralmente associados a
redes TCP/IP. Este dispositivo de segurança
existe na forma de software e de hardware,
a combinação de ambos é chamado
tecnicamente de "appliance". A
complexidade de instalação depende do
tamanho da rede, da política de segurança,
da quantidade de regras que controlam o
fluxo de entrada e saída de informações e do
grau de segurança desejado.
FIREWALL
10. CLASSIFICAÇÃO
• Filtros de Pacotes: Estes sistemas analisam individualmente
os pacotes à medida que estes são transmitidos, verificando
apenas o cabeçalho das camadas de rede (camada 3 do
modelo ISO/OSI) e de transporte (camada 4 do modelo
ISO/OSI). As regras podem ser formadas indicando os
endereços de rede (de origem e/ou destino) e as
portas TCP/IP envolvidas na conexão. A principal desvantagem
desse tipo de tecnologia para a segurança reside na falta de
controle de estado do pacote, o que permite que agentes
maliciosos possam produzir pacotes simulados (com endereço
IP falsificado, técnica conhecida como IP Spoofing), fora de
contexto ou ainda para serem injetados em uma sessão
válida. Esta tecnologia foi amplamente utilizada nos
equipamentos de 1a.Geração (incluindo roteadores), não
realizando nenhum tipo de decodificação do protocolo ou
análise na camada de aplicação.
11. •
Proxy Firewall ou Gateways de Aplicação: Os conceitos de gateways de aplicação
(application-level gateways) e "bastion hosts" foram introduzidos por Marcus
Ranum em 1995. Trabalhando como uma espécie de eclusa,
ofirewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições
como se fossem uma aplicação e originando um novo pedido sob a
responsabilidade do mesmofirewall (non-transparent proxy) para o servidor de
destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser
entregue para o solicitante original. Os gateways de aplicações conectam as redes
corporativas à Internet através de estações seguras (chamadas de bastion hosts)
rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls).
Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem
uma segunda conexão externa para receber estes dados, acabam por esconder a
identidade dos usuários nestas requisições externas, oferecendo uma proteção
adicional contra a ação dos crackers.
Desvantagens: - Para cada novo serviço que aparece na Internet, o fabricante deve
desenvolver o seu correspondente agente de Proxy. Isto pode demorar meses,
tornando o cliente vulnerável enquanto o fabricante não libera o agente específico. A
instalação, manutenção e atualização dos agentes do Proxy requerem serviços
especializados e podem ser bastante complexos e caros; - Os proxies introduzem perda
de desempenho na rede, já que as mensagens devem ser processadas pelo agente
do Proxy. Por exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP,
que por sua vez interpreta a solicitação e fala com o servidor FTP externo para
completar o pedido; - A tecnologia atual permite que o custo de implementação seja
bastante reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como
sistemas operacionais abertos (Linux), porém, exige-se manutenção específica para
assegurar que seja mantido nível de segurança adequado (ex.: aplicação de correções
e configuração adequada dos servidores).
12. •
Stateful Firewall (ou Firewall de Estado de Sessão): Os firewalls de estado
foram introduzidos originalmente em 1991 pela empresa DEC com o
produto SEAL, porém, não foi até 1994, com os israelenses da Checkpoint, que
a tecnologia ganharia maturidade suficiente. O produto Firewall-1 utilizava a
tecnologia patenteada chamada de Stateful Inspection, que tinha capacidade
para identificar o protocolo dos pacotes transitados e "prever" as respostas
legítimas. Na verdade, o firewall guardava o estado de todas as últimas
transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos.
Posteriormente surgiram vários aperfeiçoamentos, que introduziram o Deep
Packet Inspection, também conhecido como tecnologia SMLI (Stateful MultiLayer Inspection), ou sejaInspeção de Total de todas as camadas do modelo
ISO/OSI (7 camadas). Esta tecnologia permite que o firewall decodifique o
pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja,
do protocolo propriamente dito e inclui técnicas específicas de identificação
de ataques. Com a tecnologia SMLI/Deep Packet Inspection, o firewall utiliza
mecanismos otimizados de verificação de tráfego para analisá-los sob a
perspectiva da tabela de estado de conexões legítimas. Simultaneamente, os
pacotes também vão sendo comparados a padrões legítimos de tráfego para
identificar possíveis ataques ou anomalias. A combinação permite que novos
padrões de tráfegos sejam entendidos como serviços e possam ser
adicionados às regras válidas em poucos minutos. Supostamente a
manutenção e instalação são mais eficientes (em termos de custo e tempo de
execução), pois a solução se concentra no modelo conceitual do TCP/IP.
Porém, com o avançar da tecnologia e dos padrões de tráfego da Internet,
projetos complexos de firewall para grandes redes de serviço podem ser tão
custosos e demorados quanto uma implementação tradicional.
13. • Firewall de Aplicação: Com a explosão do comércio eletrônico, percebeuse que mesmo a última tecnologia em filtragem de pacotes
para TCP/IP poderia não ser tão efetiva quanto se esperava. Com todos os
investimentos dispendidos em tecnologia de stateful firewalls, os ataques
continuavam a prosperar de forma avassaladora. Somente a filtragem dos
pacotes de rede não era mais suficiente. Os ataques passaram a se
concentrar nas características (e vulnerabilidades) específicas de cada
aplicação. Percebeu-se que havia a necessidade de desenvolver um novo
método que pudesse analisar as particularidades de cada protocolo e
tomar decisões que pudessem evitar ataques maliciosos contra uma rede.
Apesar de o projeto original do TIS Firewall concebido por Marcos
Ranum já se orientar a verificação dos métodos de protocolos de
comunicação, o conceito atual de Firewall de Aplicação nasceu
principalmente pelo fato de se exigir a concentração de esforços de
análise em protocolos específicos, tais como servidores Web e suas
conexões de hipertexto (HTTP). A primeira implementação comercial
nasceu em 2000 com a empresa israelense Sanctum, porém, o conceito
ainda não havia sido amplamente difundido para justificar uma adoção
prática. Se comparado com o modelo tradicional de Firewall -- orientado a
redes de dados, o Firewall de Aplicação é frequentemente instalado junto
à plataforma da aplicação, atuando como uma espécie de procurador para
o acesso ao servidor (Proxy). Alguns projetos de código-aberto, como por
exemplo o ModSecurity para servidores Apache, IIS e Nginx, têm por
objetivo facilitar a disseminação do conceito para as aplicações Web.
14. HISTÓRIA
Os sistemas firewall nasceram no final dos anos 80, fruto da
necessidade de criar restrição de acesso entre as redes existentes, com
políticas de segurança no conjunto de protocolos TCP/IP. Nesta época a
expansão das redes acadêmicas e militares, que culminou com a formação da
ARPANET e, posteriormente, a Internet e a popularização dos primeiros
computadores tornando-se alvos fáceis para a incipiente comunidade hacker.
Casos de invasões de redes e fraudes em sistemas de telefonia começaram a
surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983.
Em 1988, administradores de rede identificaram o que se tornou a primeira
grande infestação de vírus de computador e que ficou conhecido
como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T.
Morris Jr disseminou-se por todos os sistemas da então existente Internet
(formado exclusivamente por redes governamentais e de ensino), provocando
um verdadeiro "apagão" na rede. O termo em inglês firewall faz alusão
comparativa da função que este desempenha para evitar o alastramento de
acessos nocivos dentro de uma rede de computadores a uma parede antichamas, que evita o alastramento de incêndios pelos cômodos de uma
edificação.
15. Os antivírus são programas de computador concebidos para
prevenir, detectar e eliminar vírus de computador.
Existe uma grande variedade de produtos com esse intuito no
mercado, sendo recomendado utilizar apenas um antivírus gratuito
ou apenas um pago. A diferença está nas camadas a mais de
proteção que a versão paga oferece, além do suporte técnico
realizado pela equipe especializada.
ANTIVÍRUS
16. CLASSIFICAÇÃO
• Pagos: As versões pagas oferecem camadas a
mais de proteção, dentre os antivírus pagos
podemos destacar:
BitDefender
Kaspersky
Avira
F-Secure
G Data
Norton Internet Security
17. • Gratuitos: São aqueles em que o usuário
poderá baixar gratuitamente para a proteção
de seu sistema de variados tipos de malwares
por meio de camadas de proteção. Dentre
eles, os que se destacam são:
AVG
Avast Free Antivírus
Avira
PSafe
Comodo Internet Security
18. HISTÓRIA
Em 1972, Robert Thomas Morris criou
o primeiro vírus digno dessa designação:
o Creeper, que infectava máquinas IBM 360 na
ARPANET (o predecessor da Internet), mostrando
uma mensagem no ecrã dizendo “I’m the creeper,
catch me if you can”. Para o eliminar, foi criado um
vírus chamado Reaper para o procurar e destruir.
Esta é a verdadeira origem dos antivírus atuais.