Como “entrar” no mercado de segurança em apenas 92 etapas fáceis

Pessoal, para quem deseja entrar na área de segurança da informação, vou estar publicando alguns artigos meus e também alguns que encontrei na internet.

por Karl Levinson, CISSP, Looking Glass Systems

Então você pretende conseguir um emprego na área de segurança de informações? Ou talvez você já esteja trabalhando nesse setor (infosec), mas queira progredir ou mudar para outra disciplina na mesma área?

A seguir encontram-se as respostas às perguntas mais freqüentes sobre o progresso em segurança de informações. Eu mesmo usei com êxito essas informações para aprender e progredir em vários estágios da minha carreira. Gostaria que alguém tivesse me dado essas dicas mais cedo, pois agora eu poderia estar aposentado e vivendo em uma ilha qualquer, em vez de estar escrevendo um artigo sobre como você pode roubar o meu emprego! Vamos ao que interessa.

Certificações

O tempo e o dinheiro investidos na obtenção de determinadas certificações de segurança podem ser compensados posteriormente com salários mais altos e melhores possibilidades de colocação. No entanto, as certificações não fazem mágica para facilitar as coisas. Elas podem ajudá-lo a conseguir entrevistas de trabalho, mas não o emprego. Você precisará comprovar o seu nível real de conhecimento e experiência durante as entrevistas, e a certificação não dá a você esse conhecimento e essa experiência.

Certificação CISSP

Uma das mais valiosas certificações de segurança ainda é a certificação CISSP oferecida pelo (ISC)2, o International Information Systems Security Certification Consortium. Eu recomendo à maioria dos profissionais de segurança que procurem obter essa certificação antes de quaisquer outras credenciais semelhantes. Ao contrário das outras certificações, a CISSP requer a aprovação em apenas um exame. Para aqueles que não têm condições de fazer treinamentos caros, existem vários manuais de estudo para a CISSP a preços acessíveis e amplamente disponíveis. Outra opção é perguntar ao seu empregador se ele poderia cobrir as suas despesas.

Para obter a certificação CISSP, é necessário que um gerente seu, atual ou anterior, concorde em confirmar que você possui quatro anos de experiência de trabalho remunerado em tempo integral relacionado à segurança. (Subtraia um ano se você tiver uma certificação aprovada, como Microsoft Certified Systems Administrator (MCSA) ou CompTIA Security+. Subtraia um ano se você tiver um curso universitário na área de segurança de informações.) Devido a esse requisito, a CISSP não o ajudará a conseguir o seu primeiro emprego na área de segurança, mas poderá ajudá-lo a conseguir o segundo ou o terceiro. O (ISC)2 oferece algumas certificações de nível iniciante menos conhecidas, como Systems Security Certified Practitioner (SSCP), que exige apenas um ano de experiência, e “Associate of (ISC)2″, para a qual não é necessário ter experiência. Essas certificações não são bem conhecidas como a CISSP e, portanto, não ajudarão muito em sua carreira. Minha recomendação é ir direto para a CISSP, se você puder.

O exame da CISSP custa de US$ 499 a US$ 599 (EUA) e, em geral, precisa ser marcado com um mês de antecedência ou mais. Você precisará fazer uma previsão de quando estará preparado para fazer o exame e então ter certeza de que estará pronto nessa data. Em outras palavras, não é possível se preparar intensivamente até se achar em condições, e só então marcar o exame para o dia seguinte. Os exames são oferecidos em um número relativamente pequeno de locais, geralmente em cidades grandes. É possível que você tenha que fazer uma longa viagem ou mesmo encontrar um local para se hospedar na noite anterior, pois o exame sempre começa às 8h.

Durante o exame, você terá até 6 horas para responder 250 perguntas do tipo múltipla escolha, algumas das quais podem ter um enunciado confuso. Dizem que os exames são divididos em níveis em uma curva do sino (ou curva de Gauss); portanto, a nota de aprovação varia. Cerca de cinco semanas depois, você recebe a nota de aprovação ou reprovação por correio e nunca é informado sobre a sua pontuação exata.

Se você ler um manual de estudo de 400 páginas ao se preparar para o exame de 250 perguntas, deverá ler e compreender cada página, ou então se arriscar a responder incorretamente as perguntas. Sugiro que você leia pelo menos um guia de estudo, além do material gratuito disponível no site do CCCure.org. Em seguida, deverá avaliar a sua capacidade para fazer o exame fazendo o teste do CCCure.org. Examine também o Candidate Information Bulletin gratuito do (ISC)2, que contém uma lista dos tópicos que podem estar incluídos no teste. Caso não se sinta suficientemente preparado para um ou mais itens da lista após avaliar esse material, você saberá que precisa ler mais sobre esses tópicos.

Certificação GIAC do SANS

A família GIAC de certificações de segurança do SANS Institute também tem seu valor. A maioria das certificações e do treinamento oferecidos pelo SANS destina-se aos profissionais técnicos de segurança de computadores, que decidiram se especializar em nichos como detecção de intrusões, resposta a incidentes, etc. Algumas das ofertas da GIAC são para auditores ou gerentes.

O treinamento de certificação do SANS é informativo e pode ser útil como treinamento para o trabalho. Também é caro, custando de US$ 2.000 a US$ 3.500 (EUA) ou mais, mesmo que você opte pelo estudo individual. Para a maioria dos exames, não há disponibilidade de manuais de estudo mais baratos oferecidos por terceiros. Portanto, o SANS é a principal (se não a única) fonte de treinamento de GIAC disponível.

As certificações GIAC são de dois tipos, “Silver” e “Gold”. A certificação Gold requer a apresentação de um trabalho por escrito após a aprovação no exame. Se você adquirir o pacote de treinamento e exame do GIAC, deverá agendar o exame para, no máximo, quatro meses após concluir o treinamento.

Se o dinheiro estiver curto, será possível conseguir a certificação GIAC por meio de estudo individual: lendo vários livros de boa qualidade, fazendo um dos testes práticos online do GIAC, ao custo de US$ 50, para aumentar a sua confiança, e depois fazendo um dos exames de certificação. Ainda assim, os exames do GIAC sem treinamento custam US$ 800, mesmo que você seja reprovado. Considere a obtenção de um “certificado” GIAC menor, fazendo um exame de US$ 100.

Você também pode procurar obter um mestrado em ciências (Master of Science) do SANS Technology Institute. Para isso, é necessário passar em oito exames de certificação GIAC, enviar vários trabalhos para certificação “Gold”, concluir três “Community Projects” residenciais designados a você, além de ter três anos de experiência até a graduação. O custo total estimado é em torno de US$ 29.000 (EUA), semelhante aos programas Masters de segurança de informações de outras escolas da sua área. O mestrado pode ser concluído em um período mínimo de dois anos. O SANS é licenciado para conceder esse título, mas ainda não está autorizado.

Outras certificações

Embora CISSP e GIAC sejam duas das certificações de maior valor para a maioria das disciplinas técnicas de segurança, algumas das outras certificações relacionadas à segurança também podem ajudar.

Alguns fornecedores oferecem certificações relacionadas à segurança de seus produtos, como os exames de Microsoft Certified Professional (MCP) relacionados à segurança, o Microsoft Certified Systems Engineer (MCSE) com especialização em segurança e as certificações CCSP (Cisco Certified Security Professional) da Cisco. Essas certificações são valiosas quando você deseja ou espera usar, gerenciar ou criar a arquitetura desses produtos no futuro. Se você não pretende trabalhar com dispositivos da Cisco, a obtenção dessa certificação terá pouco valor.

Os profissionais de segurança que ocupam determinados cargos podem precisar conhecer e dar suporte a produtos de vários fornecedores. Se esse for o seu caso, você poderá lucrar mais obtendo primeiro uma certificação de “fornecedor neutro” como a CISSP, em vez de obter muitas certificações de qualquer fornecedor individual. A menos que você já esteja interessado em se especializar, minha recomendação é que você se semiqualifique em dois ou mais sistemas operacionais ou dispositivos, em vez de gastar o seu tempo para se tornar altamente certificado em apenas um.

Se o seu currículo mencionar quatro ou mais certificações, alguns empregadores poderão suspeitar que você passa o tempo todo se preparando intensivamente para exames de certificação, e poderão duvidar do seu conhecimento real. É correto obter mais de três certificações diferentes, mas eu recomendo não mencionar mais de três delas de cada vez após o seu nome.

Considere remover do seu currículo as certificações que não sejam relevantes para o trabalho que está sendo considerado, ou para as áreas em que você se acha menos capacitado. Considere também a remoção das certificações menos desejáveis. Por exemplo, se você tiver a certificação MCSE, minha recomendação é remover o MCP do seu currículo. Se estiver buscando uma certificação, deverá listar esse fato no currículo.

A CompTIA oferece pelo menos duas certificações de nível iniciante (Linux+ e Security+) que podem ser valiosas, especialmente se você não estiver em condições de obter a certificação (ISC)2. A certificação A+ da CompTIA não é relevante para a segurança, e minha recomendação é removê-la ao se candidatar a posições de segurança.

Livros

Independentemente de você estar interessado em certificações, há várias opções para melhorar suas habilidades e a sua experiência. Se não tiver dinheiro para gastar em treinamentos caros, o estudo individual pode ser a saída. Os vários livros Hacking Exposed são uma excelente introdução a uma ampla gama de disciplinas. Também gosto muito destes livros: Incident Response and Computer Forensics, Second Edition; Writing Secure Code, Second Edition; e TCP/IP Illustrated, Volume 1. Se você tem preferência por firewalls empresariais, considere o livro Building Internet Firewalls, Second Edition. Para o monitoramento de detecção de intrusões na rede, tente o livro Network Intrusion Detection, Third Edition. O (ISC)2 possui uma lista de bons livros sobre segurança que também são importantes para o estudo da CISSP.

Para aqueles que têm um orçamento apertado, cópias usadas de muitos desses livros, inclusive dos guias de estudo da CISSP, estão disponíveis no Amazon a preços reduzidos. A sua biblioteca local pode ter alguns livros importantes, ou você pode retirar eBooks grátis na NetLibrary ou em sites citados na seção a seguir.

Sites

O site da Central de Segurança TechNet contém uma grande quantidade de informações grátis sobre treinamento e referência de segurança, uma cortesia da Microsoft. Também existem webcasts grátis para aqueles que preferem ouvir, em vez de ler. Por exemplo, não deixe de dar uma olhada nos tópicos sobre: Orientações de segurança, Trilhas do aprendizado para segurança, Ameaças e medidas defensivas, Compreendendo a segurança, IT Pro Security Community, Segurança para pequenas empresas e Artigo do mês do MVP de segurança (as páginas podem estar em inglês). Já é suficiente, não é?

As Special Publications do National Institute of Standards and Technology (NIST) são como manuais de treinamento gratuitos sobre vários tópicos, principalmente sobre como a segurança no mundo real é implementada em grandes empresas. Você também pode ler os artigos breves sobre segurança (escritos por candidatos à certificação GIAC) na SANS Reading Room. O site BuildSecurityIn do Departamento de segurança interna dos EUA possui alguns bons artigos sobre a Web e a segurança na programação, assim como o site do Open Web Application Security Project (OWASP). Verifique também os trabalhos e as apresentações do CERT/CC. Há muitas informações sobre segurança no meu próprio site, SecurityAdmin.Info FAQ, além de uma longa lista de links para outros artigos, sites e ferramentas úteis que não foram listados neste artigo.

Fóruns de suporte técnico

A postagem em fóruns de suporte da Internet nos sites e grupos de notícias da Usenet é uma maneira relativamente fácil de obter experiência no mundo real. Embora o trabalho não seja pago, ele mostra o seu talento e compromisso na área de segurança, a sua ética no trabalho e a sua habilidade para escrever. Além disso, é uma excelente forma de o recém-chegado aprender sobre os problemas mais comuns do mundo real (e as soluções para esses problemas). Essas informações podem ajudá-lo a dar respostas inteligentes nas entrevistas de trabalho. Por si só, as certificações geralmente não informam exatamente como resolver os problemas mais comuns da atualidade.

Encontre um fórum de suporte técnico relacionado a um campo de segurança de TI do seu interesse. Não poste a princípio. Apenas “espione” e leia os problemas e as sugestões. Mas não tire conclusões precipitadas. Suspeite das declarações abrangentes sobre segurança, do tipo “sempre” e “nunca”. Depois de algum tempo, você provavelmente aprenderá e se lembrará de respostas que, de outro modo, não teria conhecido. Então poderá começar a responder com autoridade a cada vez mais perguntas.

Quando já estiver conhecido no fórum, avance mais um passo. Responder as mesmas perguntas repetidamente não é interessante para ninguém. Se o fórum tiver um site de perguntas freqüentes, você poderá se oferecer para ajudar a manter a página. Se não tiver, escreva uma página você mesmo e poste-a na Usenet, ou crie o seu próprio site de perguntas freqüentes sobre esse tópico (as perguntas freqüentes do meu site constituem apenas um dos muitos sites de perguntas freqüentes de exemplo existentes). Você também pode adicionar um blog ao seu site e incluir comentários e artigos sobre eventos atuais, novos tópicos de interesse, etc. Faça o que fizer, não deixe de mencionar esse fato no seu currículo e nas entrevistas de trabalho.

Alguns fóruns de suporte de segurança populares são:

• Grupos de Notícias da Microsoft

• SecurityFocus

• Google Grupos

• Insecure.org

• Fóruns do CastleCops

• Broadband Reports

• Gibson Research Corporation (GRC)

• Firewall-Wizards

• Total Virus Defense Users Group

Alguns fóruns de discussão baseados na Web também estão disponíveis via email ou por meio de grupos de notícias da Usenet. No caso desse último, você pode achar mais fácil usar um software de leitura de notícias (como o Microsoft Outlook Express ou o Forte Free Agent) para acessar os servidores news:// diretamente, em vez de usar uma página da Web para ler as postagens.

Prêmio Microsoft MVP

Como um incentivo adicional, se você postar com freqüência orientações confiáveis nos fóruns de suporte técnico gratuitos da Microsoft, poderá ser indicado para um prêmio Microsoft MVP (Most Valuable Professional). Isso é definitivamente um ponto positivo no seu currículo. Outros benefícios do prêmio Microsoft MVP incluem oportunidades educacionais, oportunidades de contato com profissionais de segurança dentro e fora da Microsoft, além de alguns brindes interessantes. Os MVPs da Microsoft também podem conseguir oportunidades de escrever e publicar artigos que serão lidos por milhares de pessoas (como este artigo que você está lendo agora).

O prêmio MS MVP é concedido por realizações passadas em suporte à comunidade de usuários. A Microsoft utiliza esse programa para incentivar a comunidade de usuários a continuar fazendo um bom trabalho. Não se preocupe, os MVPs não têm obrigação de dizer ou fazer nada diferente após receber o prêmio. Eles não são obrigados a se transformar em incentivadores dos produtos da Microsoft; e ser um incentivador não o ajudará a ser indicado como MVP (caso não acredite em mim, verifique a próxima seção, na qual incluí links para CDs de inicialização do Linux).

A postagem nos grupos de notícias da Microsoft não é a única maneira de ser indicado para um prêmio MS MVP. Às vezes, as pessoas recebem indicações para o MS MVP por terem feito contribuições bem fundadas a outras comunidades não Microsoft, como aquelas mencionadas anteriormente, ou através de seu próprio site ou software também. Outros fornecedores além da Microsoft também podem ter programas de reconhecimento semelhantes.

Ferramentas de software

Em muitos campos técnicos de segurança, é muito vantajoso ter conhecimentos sobre TCP/IP e pelo menos um (ou dois, preferencialmente) sistemas operacionais (como o Microsoft Windows, o Linux, o BSD ou o Solaris da Sun Microsystems). Usar o sniffer (farejador) Wireshark [Ethereal], o scanner de vulnerabilidades Nessus, o software de IDS (sistema de detecção de intrusões) Snort ou uma ou mais das outras 75 principais ferramentas de segurança de rede já é um bom começo. O uso de algumas dessas ferramentas pode violar a política do seu empregador ou do provedor de serviços de Internet, podendo resultar em demissão ou desconexão. Portanto, seja cuidadoso e procure obter aprovação antes de mais nada. Conhecer pelo menos uma linguagem de programação ou de script (como C, C++, Assembly, Perl, VBScript, JavaScript e/ou HTML) ajuda, mas não é essencial.

Se você estiver familiarizado somente com o Windows, uma boa maneira de se familiarizar com os outros sistemas operacionais e com as ferramentas de segurança fora do Windows é usar um CD grátis de live boot do Linux. Baixe, grave e insira um CD de inicialização, e logo o seu computador estará executando o Linux, juntamente com todos os utilitários relacionados, sem que você precise instalar ou solucionar nenhum problema. Helix e Knoppix-STD são dois live CDs populares relacionados à segurança, e outros são listados nos sites do Darknet e do KNOPPIX. Alguns desses discos são até mesmo direcionados especificamente para testes de penetração ou forenses. Outros discos do Linux transformam um computador reserva lento em um firewall. Se você não tiver acesso a uma conexão rápida com a Internet, poderá adquirir esses CDs pelo correio. Também estão disponíveis distribuições menores do Linux que cabem em disquetes de inicialização.

A vantagem dos discos de live boot é que você pode carregá-los e executá-los em quase todos os computadores, sem muitos problemas. Porém, a menos que você seja disciplinado e tenha definido tarefas a serem executadas, poderá ter dificuldades em ultrapassar a fase de “pequenas alterações” ao usar somente um CD de inicialização. Provavelmente, você aprenderia mais se estivesse dando suporte ou usando esse software diariamente. Responder às intrusões ou monitorar o tráfego da rede com o software de IDS em casa não é a mesma coisa que fazer isso no trabalho, com sistemas e dados ativos.

Especialização

Talvez você queira considerar a especialização em um determinado nicho de segurança. Há muitas especializações de segurança diferentes, e não é possível tornar-se um especialista em todas elas.

Algumas disciplinas podem ser mais fáceis para pessoas pouco experientes. Por exemplo, o monitoramento do IDS é um campo de segurança que precisa de pessoas iniciantes que forneçam cobertura economicamente viável 24 horas por dia. A especialização em IDS pode ajudar um novato na área de segurança de informações a entrar nesse campo (considerando-se que na sua área existam empresas que estejam fazendo o monitoramento do IDS). Dispor-se a trabalhar à noite durante algum tempo pode ajudá-lo a dar o primeiro passo, embora o aprendizado e o progresso possam ser mais desafiadores durante o dia.

A especialização em computação forense pode ser útil, pois a demanda por pessoas com habilidades forenses parece exceder a oferta. Porém, esses trabalhos podem não ser sempre tão interessantes quanto mostra a TV.

Provavelmente, você não encontrará uma posição de estagiário em teste de penetração ou invasão de sistemas. Esses cargos são difíceis de encontrar. É possível que você encontre alguns trabalhos de nível iniciante em certificação e autorização (C&A) que envolvam a avaliação de vulnerabilidades, especialmente se você morar próximo a órgãos federais ou outras entidades que façam esse tipo de trabalho.

Encontrando trabalho

Alguns trabalhos são postados somente no site do empregador. Para encontrar um trabalho na área de segurança, talvez você precise identificar e visitar sites de empregadores que façam trabalho de segurança na sua área. A tendência é que sejam organizações grandes (como empresas comerciais, e entidades federais e estaduais), e também empresas terceirizadas (como meu empregador, Looking Glass Systems) que fazem trabalho de segurança para essas organizações grandes. Grandes organizações, como as 25 primeiras desta lista das 100 principais empresas contratadas por órgãos federais, tendem a ter mais posições de segurança para iniciantes e mais oportunidades de progresso posterior. Além disso, muitos empregadores dão valor à experiência em segurança em grandes ambientes.

Você também pode considerar a obtenção de uma posição que não seja em segurança, em uma empresa que tenha cargos de segurança. Muitos empregadores hesitam em contratar alguém que não conhecem e que não tenha nenhuma experiência remunerada em segurança. No entanto, esses mesmos empregadores são capazes de transferir uma pessoa com sólido desempenho e um hobby em segurança, da equipe de atendimento ou de servidores para uma vaga na área de segurança, após conhecer o seu trabalho durante um ano. Porém, tenha cuidado: se você for entrevistado para um cargo em uma nova empresa e disser que preferiria trabalhar com segurança, talvez não seja escolhido para o cargo.

Entrevista

Muitas coisas que você precisa saber sobre como obter acesso ao campo de segurança de TI não têm nada a ver com TI ou com segurança. Os entrevistadores julgam não só o que você sabe e fala, mas também a maneira como você fala, para descobrir se a sua personalidade se adaptará à equipe deles.

Assim como muitas outras coisas na vida, as entrevistas de trabalho são um jogo. É preciso saber como jogar, o que significa aprender e praticar. Verifique um ou dois livros sobre currículos e entrevistas de trabalho na sua biblioteca local. Não espere mais de 4 retornos para cada 100 currículos enviados, e tenha em mente que as suas primeiras entrevistas serão amargamente malsucedidas. Se isso o preocupa, envie mais currículos e ensaie algumas entrevistas com alguém que tenha algum conhecimento e possa fazer comentários.

Nas entrevistas, falar demais pode ser ruim; falar muito pouco também. Seja honesto, mas saiba o que não deve ser dito. É preferível admitir que você não sabe uma resposta do que divagar e inventar coisas. Você pode tentar melhorar um pouco a sua experiência passada, mas se contar mentiras, a maioria das pessoas perceberá, e aqueles que não perceberem provavelmente não são empregadores ideais que fazem um trabalho sério em segurança. Se você entrar em uma dessas equipes, poderá encontrar pessoas pouco qualificadas contratadas, e acabar fazendo o trabalho extra delas, ou aprendendo pouco, ou sendo dispensado quando a empresa começar a falhar.

Tenha em mãos uma lista de perguntas sobre o trabalho, a equipe e a empresa. Saiba quando e como mencionar a parte financeira e evite ser o primeiro a mencionar uma quantia. Fico surpreso com a quantidade de pessoas que entrevisto e que parecem não conhecer essas diretrizes.

Confuso? Muito bom. Eu não conseguiria colocar tudo o que você precisa saber neste espaço tão pequeno. Espero que pelo menos eu o tenha alertado para a existência dos problemas aqui mencionados e que você tenha se interessado em procurar outros detalhes sobre o assunto.

Assim como muitas outras habilidades, a segurança das informações não é uma arte mágica secreta dominada por poucas pessoas habilitadas. Se você lê sobre segurança, faz segurança e gosta disso, poderá se capacitar nessa área e transformar essa capacidade em uma carreira.

A propósito, a leitura deste artigo foi a primeira etapa. As próximas 91 etapas dependem de você!

Fonte: http://www.microsoft.com/brasil/technet/colunas/community/columns/cecmvp/sv0706.mspx

Fonte: blog.dennyroger.com.br

Teste de Invasão em Redes Wireless

Este artigo fornece uma visão geral sobre o teste de invasão em redes wireless com base nas experiências práticas do autor. O leitor irá conhecer as vulnerabilidades das redes wireless, a metodologia para realizar o teste de invasão e as técnicas de ataque. Com as informações deste artigo, o leitor poderá realizar uma auditoria em sua rede wireless e criar regras de segurança no seu ambiente computacional sem fio.

Este documento também fornece a relação de antenas e softwares necessários para a realização da auditoria e do teste de invasão.

Introdução

Instalar redes wireless nos dias atuais tornou-se relativamente simples. Na realidade, quando a tecnologia das redes sem fio estava sendo desenvolvida, os principais objetivos sempre foram conectividade e acessibilidade de forma fácil. A segurança da informação não era um dos principais objetivos das redes sem fio. Podemos perceber isso claramente porque os mecanismos de segurança não oferecem uma solução robusta.

Realizar o teste de invasão na rede wireless da sua empresa, ajudará a minimizar os riscos e a entender, por exemplo, que filtros por Media Access Control (MAC) podem ser insuficientes contra um ataque de um hacker.

O teste de invasão na rede wireless é essencial para que sua empresa esteja em conformidade com o Sarbanes-Oxley, California Senate Bill 1386 (SB 1386) e HIPAA (Health Insurance Portability and Accountability Act). Estes regulamentos exigem que as empresas protejam informações de identificação pessoal. Sendo assim, as organizações devem considerar o teste de invasão em sua rede wireless para aumentar a segurança da informação.

Vulnerabilidades em Redes Wireless

Basicamente, existem dois tipos de vulnerabilidades em redes wireless. A primeira e a mais comum é a instalação/configuração padrão da rede wireless. A segunda vulnerabilidade está na criptografia utilizada para proteger as informações.

a) Problemas de configuração

A configuração padrão de uma rede sem fio é insegura. Este tipo de configuração facilita o acesso indevido à rede sem fio. O atacante precisa apenas configurar sua placa de rede wireless para acessar a rede.

b) Auditoria no WEP, WAP e LEAP

O administrador de rede pode determinar o tipo de criptografia que será utilizada na rede wireless. O Wired Equivalent Privacy (WEP) foi o primeiro recurso de segurança disponibilizado para redes wireless. Existem diversas ferramentas gratuitas que “quebram” a criptografia do WEP. O Aircrack (http://www.wirelessdefence.org/Contents/Aircrack_aircrack.htm) é uma suíte de ferramentas que consegue descobrir a chave do WEP, permitindo que o teste de invasão seja realizado com sucesso.

O WiFi Protected Access (WPA) e a solução proprietária da CISCO (LEAP) também estão vulneráveis. É possível durante o teste de invasão, realizar um ataque de dicionário para descobrir a chave utilizada para acesso à rede wireless. Caso a sua rede wireless utilize o WPA, o CoWPAtty(http://sourceforge.net/projects/cowpatty) realizará um ataque offline de dicionário para descobrir a chave compartilhada. É possível conseguir através da própria internet, uma lista de palavras em vários idiomas para o ataque de dicionário. Para download, acesse http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/.

Caso a sua rede utilize o Cisco’s Lightweight Extensible Authentication Protocol (LEAP) é possível realizar um ataque offline de dicionário. Isso ocorre devido ao LEAP trabalhar de forma semelhante ao Microsoft Challenge Handshake Protocol version 2 (MS-CHAPv2). Ou seja, assim como no MS-CHAPv2, o LEAP trabalha no esquema de pergunta e resposta, passando o usuário em texto claro pela rede. A vulnerabilidade foi descoberta em março de 2003. O engenheiro de redes, Joshua Wright (http://home.jwu.edu/jwright/), desenvolveu a ferramenta batizada de Asleap para realizar o ataque de dicionário sobre o LEAP.

Localizando sua Rede Wireless

Agora que você já conhece algumas vulnerabilidades das redes wireless é necessário escolher a antena correta para iniciar o teste de invasão.

Fundamentalmente, existem dois tipos de antenas que você pode utilizar durante o teste de invasão: omnidirecional e direcional. As antenas omnidirecional cobrem 360º no plano horizontal. Utilize este tipo de antena quando o teste de invasão for realizado em áreas amplas.

As antenas direcionais concentram o sinal em uma única direção. Este tipo de antena é utilizado quando você já identificou a rede wireless da sua empresa e precisa direcionar o sinal para esta rede. Ou seja, quando você executar os ataques para auditar a rede da sua empresa, todas as técnicas serão aplicadas na rede wireless correta. Utilize uma antena Yagi para o teste de invasão.

O próximo passo é interligar a antena ao seu laptop. Para mais informações, acesse http://www.warchalking.com.br/cgi-bin/base/tutoriais2.444?40.

Observação: O autor deste artigo utiliza um cartão PCMCIA Orinoco com um conector externo para a antena. A antena utilizada pelo autor deste artigo é uma direcional Corneta de polarização horizontal ou vertical para trabalhar na frequência de 2.4-2.48Ghz. O custo do cartão PCMCIA com a antena é de aproximadamente R$ 360,00 ou US$ 171,43. A antena tem aproximadamente 30cm e pesa 760g, excelente para levar dentro do carro ou mochila.

É importante observarmos a partir deste ponto, que existem diversas ferramentas para localizar uma rede wireless. Cada profissional deverá escolher a ferramenta que mais se identifica com o seu perfil técnico.

Wellenreiter

O Wellenreiter é uma excelente ferramenta, com interface gráfica, para localizar e monitorar redes wireless. Através do Wellenreiter é possível identificar diversas informações da rede wireless que está sendo monitorada, tais como: Canal de comunicação, o ESSID, MAC Address, se a rede utiliza ou não algum recurso de criptografia, o fabricante do Access Point, entre outras informações.

A ferramenta também registra todo o tráfego da rede wireless. Sendo assim, você poderá utilizar o Ethereal para abrir o arquivo que foi registrado todo o tráfego, para uma análise mais detalhada das informações.

“Diz a lenda” que as ferramentas disponíveis para monitoramento de redes wireless, não conseguem identificar se a rede está utilizando o WEP ou o WPA. As ferramentas apresentam a informação que a rede está utilizando o WEP. Isso obriga o profissional que está realizando a auditoria na rede wireless, a procurar (utilizando o Ethereal) o frame que contem “.P….”. Para facilitar o diagnóstico, o profissional poderá procurar nos “Tag information” por “WPA IE, type 1, version 1″.

Airodump

O Airodump (parte da suíte do Aircrack) é a ferramenta que ajudará o profissional a capturar o tráfego da rede wireless. O profissional deve utilizar esta ferramenta para capturar o tráfego porque é possível determinar qual será a rede monitorada. Ou seja, caso existam redes wireless de outras empresas próximas a rede wireless da sua empresa, você irá utilizar o Airodump para monitorar apenas o tráfego da rede wireless da sua empresa.

O Airodump também consegue identificar se a rede está utilizando o WEP ou o WPA, facilitando muito as técnicas de ataque para descobrir a chave utilizada na rede.

Observação: Utilize o tráfego capturado pelo Airodump em conjunto com as ferramentas que descobrem a chave utilizada em redes wireless com o WEP ou WPA. Antes de executar o Airodump, execute o Wellenreiter e deixe-o funcionando no seu laptop. Os dois programas irão trabalhar em conjunto.

Ferramentas e Procedimentos

Hardware para o teste de invasão (http://www.amazon.com/gp/product/B0009UC2A2/sr=8-6/qid=1142777224/ref=pd_bbs_6/002-5332413-6799242?%5Fencoding=UTF8)

Wellenreiter (http://www.wellenreiter.net/)

WAP Cracking (http://www.crimemachine.com/Tuts/Flash/WPA.html)

Aircrack para Linux ou Windows (http://tinyshell.be/aircrackng/wiki/index.php?title=Downloads).

Asleap (http://asleap.sourceforge.net/).

Procedimento de ataque ao WEP e ao WPA (http://www.grape-info.com/doc/linux/config/aircrack-2.3.html).

Apresentação de Joshua Wright para o Defcon 2003 (http://home.jwu.edu/jwright/presentations/asleap-defcon.pdf).

Mais informações sobre a vulnerabilidade no LEAP da CISCO (http://www.cisco.com/warp/public/707/cisco-sn-20030802-leap.shtml).

Observações Finais

a) Ataques por dicionário: A lista de palavras disponíveis no site http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/ é excelente para ataques de dicionário. O ponto positivo da utilização desta lista é que não existem palavras repetidas no arquivo. O ponto negativo é que não existe um dicionário para o idioma Português.

b) WEP: É necessário capturar um número grande de pacotes quando a rede wireless está sendo protegida pelo WEP. Durante os testes de invasão realizados pelo autor deste artigo, foi necessário a captura de um número superior a 300.000 IVs (Initialization Vectors). Para capturar um número tão grande de pacotes contendo IVs, podem ser necessárias várias horas de monitoramento da rede alvo. Existem técnicas intrusivas (capturar e re-injetar pacotes ARP, desconectar as estações de trabalho do Access Point, etc) que forçam o tráfego de pacotes contendo IVs que não foram apresentadas ou discutidas neste artigo.

c) WPA: Não é necessário um número grande de pacotes. Porém, é necessário capturar o tráfego de pacotes TKIP (Temporal Key Integrity Protocol) para que as ferramentas consigam descobrir a chave utilizada na rede wireless.

d) WPA2: O autor deste artigo não conhece vulnerabilidades no WPA2. As técnicas e ferramentas descritas no artigo não funcionam em redes wireless que utilizam o WPA2.

e) Pacotes mal formatados: durante o monitoramento da rede serão capturados diversos pacotes mal formatados. As ferramentas utilizadas durante o teste de invasão não funcionaram corretamente com pacotes mal formatados. Utilizando o Ethereal você poderá identificar quais são os pacotes mal formatados.

f) KNOPPIX: para não prejudicar o HD do seu laptop, utilize o Knoppix (http://www.knoppix.org/).

g) Modelos de placas PCMCIA:

http://www.radiolabs.com/products/wireless/networking/buffalo-wireless-notebook-card.php?PHPSESSID=1ad36f381c77246796ae012f035955e6

http://store.microcom.us/nl2511cdplusx2.html

http://www.seattlewireless.net/HardwareComparison

g) Antena utilizada pelo autor do artigo: http://www.pluton.com.br/Site_Portugues/antenas/ptx18.htm.

Escrito por: Denny Roger é especialista nas áreas de projeto de rede segura e intrusão de rede, liderando regularmente os esforços de teste de penetração na Batori Software & Security, onde pode demonstrar, em primeira mão, sobre o impacto das vulnerabilidades da rede no dia-a-dia. Atualmente é diretor de negócios de segurança da Batori Software & Security.

Fedora, Red Hat e a segurança nas distribuições Linux

No dia 22 de agosto, o Projeto Fedora emitiu um “relatório de infra-estrutura” confirmando o que muitos observadores já suspeitavam: houve uma grave falha de segurança no projeto. O atacante conseguiu chegar ao sistema usado para assinar os pacotes distribuídos pelo Fedora. É claro que isso está bem perto de ser o pior dos cenários: se um intruso se apodera de um sistema desses, capturar a chave de assinatura dos pacotes e a passphrase usada para empregar a chave torna-se uma tarefa relativamente simples. E essas assinaturas, por sua vez, poderiam ser usadas para criar pacotes hostis que seriam aceitos como genuínos por instalações do Fedora de todo o mundo.

Felizmente para o projeto Fedora (e para seus usuários), uma auditoria determinou que ninguém usou a chave durante a permanência do intruso. Por isso, ainda que houvesse a possibilidade da passphrase ter sido capturada, ela não foi exposta e, conseqüentemente, não foi comprometida.

Nem é preciso dizer que mesmo assim o projeto está mudando sua chave de assinatura de pacotes.

O interessante é que o Fedora não foi o único alvo do ataque: o Red Hat também foi comprometido. Ao contrário do Projeto Fedora, a Red Hat não emitiu um comunicado específico sobre a invasão; ao invés disso, a informação foi incluída em uma atualização de segurança do openssh. Nesse caso o atacante teve mais sucesso, ao ponto de conseguir assinar “…um pequeno número de pacotes OpenSSH relativos apenas ao Red Hat Enterprise Linux 4 (apenas nas arquiteturas i386 e x86_64) e no Red Hat Enterprise Linux 5 (apenas na arquitetura x86_64).” Vale a pena questionar esse jogo de palavras: só é preciso assinar um único pacote openssh (o que certamente é um “pequeno número de pacotes”) para comprometer milhares de hosts com o RHEL, e os “apenas” que eles usam se referem ao que deve ser a maioria dos sistemas RHEL instalados. É para assustar mesmo, mas a Red Hat já se convenceu de que nenhum dos pacotes comprometidos foram entregues aos assinantes do RHEL. Logo, esse ataque também falhou — mas foi por pouco.

Nem é preciso dizer que explicações como essa trazem mais perguntas do que respostas. A pergunta que o Fedora e a Red Hat vão ter que responder mais cedo ou mais tarde é: como esse invasor entrou? Presume-se que o Fedora e a Red Hat rodem suas próprias distribuições, cada qual em seu sistema interno; deduz-se que, se essas distribuições contêm uma vulnerabilidade que permitiu a um atacante entrar no sistema, muitos outros grandes sistemas também podem estar vulneráveis. Se ao invés disso, o comprometimento do sistema for resultado de um erro de um administrador ou desenvolvedor (ou, quem sabe, de um laptop perdido), os administradores responsáveis por sistemas Fedora e RHEL podem dormir um pouco mais tranqüilos. De qualquer maneira, eles merecem saber como esses eventos se passaram.

Algumas pessoas gostariam de dispor dessa informação imediatamente. Além disso, imagina-se que haja uma boa quantidade de reclamações (também, imagina-se, de um grupo relativamente pequeno de pessoas) nas listas do Fedora quanto à maneira como o incidente foi tratado. Este editor também argumentou que as informações levaram muito tempo para vir à tona. Agora vou argumentar que, embora o Fedora ainda precise revelar algumas coisas, o projeto declarou o suficiente para conseguir respirar um pouco enquanto tenta recompor sua infra-estrutura e entender o que de fato aconteceu. Há vários bons motivos para que essas informações não tenham sido divulgadas imediatamente, incluindo a óbvia possibilidade de que ninguém saiba ainda como o invasor conseguiu acesso ao sistema. Não adianta malhar o Fedora nesse momento.

De qualquer maneira, qualquer coisa que o projeto possa dizer aos seus usuários sobre se há ou não motivos para que eles se preocupem com uma vulnerabilidade não revelada em seus sistemas seria bem-vinda, e quanto mais cedo isso acontecer, melhor.

Enquanto isso, o que pode ser feito, e o que o membro do conselho do Fedora, Jeff Spaleta, em particular, tem defendido, é que se pense em como lidar com a situação da próxima vez. Segundo Jeff,

Temos um problema de comunicação? Talvez. Mas problemas de comunicação não equivalem a problemas de confiança. Mas considerando que foi o primeiro evento dessa natureza a atingir o projeto, não acho de todo inesperado que tenham havido problemas de comunicação. Não acho que nenhum de nós, da Red Hat ou de fora dela, já tenha debatido sobre como lidar com esse tipo de situação. Não me lembro de ter havido algum debate público sério sobre como deva se dar a comunicação em uma situação dessas. E não vou aceitar que as pessoas pensem que fazer as coisas de um modo diferente deveria ser algo óbvio para aqueles em posição de lidar com as informações.

Se as pessoas querem que as coisas melhorem, se (Deus me livre) uma coisa dessas acontecer novamente, então é preciso trabalhar sério para que seja redigido um processo de comunicação aceito legalmente como um processo de trabalho viável, sem tocar perigosamente em questões de responsabilidade legal.

O Projeto Fedora certamente deve preparar uma política específica para situações como essa. Seria bom para os usuários do Fedora, mas seus efeitos poderiam ir além disso: uma política desse tipo poderia servir de exemplo para outros distribuidores. Afinal de contas, é provavelmente seguro dizer que o Fedora não é o único distribuidor que ainda não se encarregou de elaborar planos para esse tipo de desastre.

Todos nós precisamos de planos como esse. Seja isso bom ou ruim, os distribuidores hoje ocupam uma posição importante no que se refere à segurança de boa parte da internet. Milhões de sistemas rodam pacotes assinados por distribuidores Linux; eles dependem, implicitamente, da segurança do processo usado na criação dos pacotes. Esse processo não é pequeno; ele pode envolver centenas de desenvolvedores, sem contar todos os envolvidos nos projetos de desenvolvimento upstream. As conseqüências de uma falha em qualquer elo da corrente de confiança podem ser drásticas. Não é de se surpreender que o sistema da distribuição tenha sido atacado; talvez a única surpresa seja que isso não aconteça com mais freqüência (nós, pelo menos, nunca soubemos de nada a esse respeito). Ataques como esse vão acontecer novamente, e os desenvolvedores precisam ter uma idéia bem definida de como reagir.

Vale mencionar um assunto relacionado: no momento em que escrevo este artigo (25 de agosto), já se vão quase duas semanas sem atualizações de segurança no Fedora. Os usuários do Fedora ainda não receberam patches para várias vulnerabilidades significativas, como a vulnerabilidade do link simbólico do postfix. A Red Had agiu melhor, mas não muito. Os usuários do Linux dependem fortemente do processo de atualizações de segurança e, no caso dessas duas distribuições, o processo foi seriamente abalado. Se alguma vulnerabilidade realmente séria tivesse sido revelada nesse período, as pessoas encarregadas de manter seguros sistemas Fedora e Red Hat poderiam estar numa situação difícil. Não é preciso ser muito paranóico para para imaginar esse tipo de abalo sendo sendo usado intencionalmente como parte de um “zero-day attack”, em que um espertinho se aproveita de alguma vulnerabilidade que tenha sido anunciada antes que o fornecedor tenha tido tempo de emitir um patch.

Esse incidente serve como uma espécie de alarme tanto para os distribuidores quanto para os usuários. Os distribuidores que desejem manter a confiança de seus usuários devem pensar em documentar coisas como:

• Como manter seguros os elos da corrente do empacotamento. Seria bom saber quantas pessoas podem assinar pacotes, e como elas obtêm acesso aos sistemas nos quais os pacotes são assinados.
• Que tipo de planos o distribuidor tem para lidar com os problemas de segurança. É de se imaginar que a Red Hat tenha um bom número de funcionários trabalhando para entender o incidente e se recuperar dele. Será que outros distribuidores estariam dispostos e seriam capazes de fazer o mesmo?
• Quais são os planos para lidar com falhas de segurança graves? Como distribuir atualizações de segurança quando a integridade do sistema de pacotes estiver comprometida?
• Se algo der errado, quando e como as informações serão comunicadas à comunidade de um modo geral?

Qualquer um que esteja implantando um sistema importante baseado em Linux deve se fazer essas perguntas ao escolher uma distribuição para o sistema. Se o sistema exige alta confiabilidade, provavelmente faz sentido buscar um fornecedor que ofereça garantias mediante uma taxa. Mas a lição que aprendemos com os eventos recentes é a de que agora é a hora de fazermos essas perguntas, e não quando algo der errado e todo mundo estiver correndo em círculos.

De modo geral, os usuários do Linux têm sido muito bem servidos pelos distribuidores desde o início. Os distribuidores reúnem milhares de programas e os integram em um todo coerente; depois eles disponibilizam os resultado, muitas vezes de graça. Eles fornecem correções quando algo dá errado, e a maioria deles dá uma atenção especial aos problemas de segurança. Eles têm feito um trabalho de excelente qualidade, não sendo usados como veículos de programas hostis. É um ótimo sistema, e ele não mudou. Mas aprendemos alguma coisa sobre o quanto nós dependemos desse sistema, e sobre como ele pode falhar. Aplicar as lições aprendidas com esse episódio deve nos ajudar a ter mais segurança no futuro.

Fonte: Steven Goodwin – lwn.net
Tradução por Roberto Bechtlufft