Fatecbauru.edu.br



LUIZ GUSTAVO ALVES

RICYELLEN OLIVEIRA PAES

TÉCNICAS DE SEGURANÇA EM AMBIENTES VIRTUAIS DE APRENDIZAGEM

Projeto de Pesquisa apresentado à Faculdade de Tecnologia de Bauru – como requisito parcial da disciplina Trabalho de Graduação do Curso de Tecnologia em Redes de Computadores, sob a orientação do prof. Me. Henrique Pachioni Martins.

BAURU - 2014

SUMÁRIO

1. PROBLEMA DE PESQUISA.......................................................................................3

2. JUSTIFICATIVA..........................................................................................................3

3. OBJETIVO..................................................................................................................4

4 FUNDAMENTAÇÃO TEÓRICA - SEGURANÇA DA INFORMAÇÃO............................4

4.1 Conceitos básicos de Segurança da informação........................................................4

4.2 Necessidade de Segurança........................................................................................5

4.3 Tipos de Ataques........................................................................................................6

4.4 Tipos de Defesa..........................................................................................................7

4.5 Obtendo Informações Sobre Domain Name System (DNS).......................................8

4.6 Ferramentas................................................................................................................8

4.7 Relatos de Ataques no Brasil......................................................................................9

4.8 Ensino Presencial X Ensino à Distância....................................................................10

4.9 Moodle.......................................................................................................................11

4.10 Kali Linux.................................................................................................................12

5 MATERIAIS E MÉTODO.............................................................................................12

6 CRONOGRAMA DE EXECUÇÃO................................................................................13

7 RESULTADOS ESPERADOS......................................................................................13

8 REFERÊNCIAS............................................................................................................14

1 PROBLEMA DE PESQUISA

Informações confidenciais vazadas por pessoas que não deveriam conseguir acesso a tais informações, sistemas de informações invadidos por pessoas com habilidades em informática, milhões de dados roubados, sites e sistemas paralisados por excesso forçado de solicitações, ataques distribuídos à sistemas, essas situações são muito comuns hoje em dia, a segurança da informação se mostra muito mais necessária hoje em dia e o mundo dos negócios deixou de tratar esse assunto como um mero luxo e passou a se preocupar mais com a segurança de tanto das empresas, como também a de seus clientes.

Com os avanços tecnológicos muitas possibilidades surgiram, uma muito recente e com muita aceitação é o ensino a distância, hoje em dia com o acesso barato a internet com boa conexão e o tempo escasso das pessoas fez com que muitas procurassem esse método de aprendizado para se qualificar com qualidade e no seu tempo. Para que essa nova ferramenta de ensino e aprendizagem seja eficiente, não é necessário apenas que o material de estudo disponibilizado contenha informações relevantes para o aproveitamento do curso, embora isso seja sim um fator importante para a qualificação profissional dos alunos. É necessário que o sistema esteja disponível sempre que o aluno precisar, por isso não pode estar vulnerável a ataques que tenha como objetivo tornar o site inacessível por excesso de solicitações, mais importante ainda do que estar disponível e protegido contra ataques de negação de serviço, esses sistemas devem proteger a privacidade dos alunos, suas contas bancarias caso o sistema possua mensalidade ou um preço fixo pelo curso.

2 JUSTIFICATIVA

A segurança da informação se mostra um assunto muito complexo, principalmente se levarmos em conta a quantidade de aspectos, por exemplo, uma instituição pode ter sistemas de segurança protegidos, mas se não levarem em conta a atitude dos funcionários, toda a tecnologia na qual a instituição investiu pode não proteger os dados pois um funcionário com más intenções pode vazar informações as quais ele possua acesso e isso pode prejudicar a empresa e seus clientes no pior dos casos.

Essa pesquisa tem como foco a segurança da informação voltada para os meios de ensino a distância. Muitas instituições utilizam a ferramenta Moodle para criarem ambientes virtuais de aprendizagem. Essa ferramenta foi criada com o propósito de auxiliar na criação de ambientes virtuais de aprendizagem, e a razão pela qual esse foco foi escolhido, ou seja, da mesma forma que um banco precisa proteger os dados de seus clientes, uma instituição de ensino precisa proteger o seu conteúdo e mantê-lo disponível para seus clientes.

3 OBJETIVO

a) Instalar e analisar o sistema de segurança de uma plataforma moodle.

4. FUNDAMENTAÇÃO TEÓRICA - SEGURANÇA DA INFORMAÇÃO

Atualmente os avanços tecnológicos trazem diversos benefícios e novas modalidades de negócios, como por exemplo: vendas online, transações bancárias online, compartilhamento de documentos, repositórios de arquivos online, ensino a distância, entre outros. Esses avanços trazem consigo novos riscos à segurança dos dados da empresa e dos clientes, trazendo prejuízos enormes caso esses dados sejam acessados por pessoas com más intenções.

Para Nakamura e Geus (2010) a Segurança da informação não é apenas a proteção contra hackers, maus funcionários ou vírus, a segurança significa lucro para as organizações resultando da flexibilidade, facilidade e disponibilidade dos recursos de informática. Sendo assim, a segurança da informação tem um impacto enorme na sobrevivência das organizações, onde os sistemas que oferecem seus serviços com a maior segurança possível serão as que mais terão a confiabilidade de seus clientes.

4.1 Conceitos Básicos de Segurança da Informação

A segurança da informação envolve diversos aspectos, sendo eles: tecnológicos, jurídicos, humanos, de negócios e processuais segundo Nakamura e Geus (2010), fazendo com que a segurança da informação como um todo seja algo muito complexo, e que todos os cuidados devem ser tomados para garantir a segurança de uma empresa.

A política de segurança acaba sendo um dos pontos mais importantes para uma estratégia de segurança de sucesso, pois se a equipe responsável tiver utilizado os melhores recursos para proteger o sistema e os dados da empresa, porém, não tenha levado em conta o lado humano da segurança, isso poderia se tornar um risco enorme caso um funcionário insatisfeito com a empresa tenha acesso a dados importantes e decida usar isso de forma maliciosa, nesse caso o uso da tecnologia não protegeu a empresa de um incidente de segurança.

Existem diversos tipos de ataques que envolvem todos os aspectos da segurança, alguns exemplos são: engenharia social, que envolve os aspectos humanos, invasão de sistemas e acesso físico, que envolvem aspectos tecnológicos. Sendo assim a equipe responsável pela segurança de uma empresa deve conhecer todos esses aspectos e saber utilizar as ferramentas disponíveis para proteger tecnologicamente o sistema e conscientizar os usuários da necessidade de segurança, por meio de treinamentos para evitar ataques que envolvam o aspecto humano.

4.2 Necessidade de Segurança

Conforme a tecnologia avança novos serviços podem ser disponibilizados ao público, porém, aumenta-se o risco a cada nova funcionalidade que uma empresa oferece aos seus clientes, levando-se em conta esse cenário a segurança da informação acaba sendo primordial para que os dados das empresas e dos clientes estejam seguros e disponíveis.

Devido à grande quantidade de vulnerabilidades encontradas nos mais diversos tipos de serviços oferecidos, os profissionais responsáveis pela segurança da informação devem se certificar de cada vulnerabilidade e tomar as medidas necessárias para impedir que essas vulnerabilidades sejam a porta de entrada para um possível ataque.

Segundo Nakamura e Geus (2010, p.60): “um atacante precisa encontrar somente uma brecha para realizar um ataque, enquanto o gestor de segurança deve conhecer todas as brechas e fecha-las”. Tendo isso em mente, o responsável pela segurança deve ter conhecimentos sólidos para que o sistema esteja em um nível aceitável de segurança.

4.3 Tipos de Ataques

Para que um ataque seja bem sucedido, diversas coisas são levadas em consideração, como a obtenção de informações sobre o alvo e suas vulnerabilidades, saber quais as formas de explorar ao máximo essas vulnerabilidades e se possível saber como apagar os seus rastros após o ataque. Serão considerados alguns dos métodos mais utilizados para se realizar ataques.

A engenharia social acaba sendo uma das técnicas mais difíceis de defender, pois o elo mais fraco da segurança de qualquer organização acaba sendo o fator humano, que é o fator explorado por essa técnica. Um exemplo de engenharia social é quando uma pessoa bem vestida fala com um funcionário informando que é uma pessoa importante na empresa e que está com sérios problemas para acessar o sistema, e que caso esse funcionário ajude-o, talvez consiga uma promoção, dependendo do quão convincente o atacante for ele consegue fazer com que alguém abra qualquer porta do sistema, pois ele usou alguém que tinha acesso a essa porta.

O Packet Sniffing é uma técnica que faz o uso de ferramentas que geralmente são utilizadas para o monitoramento da rede, como o Wireshark, Tcpdump, Windump entre muitas outras ferramentas para capturar informações valiosas diretamente da rede da empresa. Essas ferramentas possuem filtros específicos que podem auxiliar o atacante a escolher quais pacotes circulando na rede são mais relevantes, como filtrar determinados tipos de pacotes, endereços de IP específicos, entre outros.

O Port Scanning é uma técnica que utiliza de ferramentas que são conhecidas como Port Scanners, que fazem o mapeamento das portas Transmission Control Protocol (TCP) e UDP. Com essas informações em mãos o atacante evita o desperdício de tempo enviando ataques a serviços inexistentes no sistema, ou seja, ele pode atacar de forma mais concentrada nos serviços que estão disponíveis na rede. Uma das ferramentas para fazer o Port Scanning é o Network Mapper (Nmap) que pode identificar diversas informações como: quais portas estão abertas, qual o sistema operacional e quais serviços estão relacionados a uma determinada porta.

As técnicas de escaneamento de vulnerabilidades são feitas após identificar quais portas estão abertas e qual o sistema operacional do sistema, sendo assim, o mapeamento pelo Port Scanning acaba sendo importante, pois evita o desperdício de tempo em fazer testes de ataques que exploram as vulnerabilidades de sistemas Windows quando o sistema na verdade é um Linux e vice-versa. Esses escaneamentos podem analisar se existem configurações incorretas, software desatualizado, a possibilidade de realizar um ataque de negação de serviço (DOS), entre outras vulnerabilidades.

4.4 Tipos de Defesa

Algumas considerações importantes sobre segurança são:

a) Sobre a engenharia social, uma consideração muito importante sobre esse tipo de ataque é que não há solução direta, pois segundo Giavaroto e Santos (2013, p.36): “Não existe correção para vulnerabilidades envolvendo o fator humano, porém, é possível diminuir a ação de engenheiros sociais através de treinamentos constantes de conscientização de todo o pessoal envolvido nos processos.”, sendo assim, pode-se considerar o fator humano o mais difícil de ser controlado pelos especialistas em segurança da informação, pois isso depende muito do trabalho em equipe de cada empresa, e cada empresa tem uma forma de lidar com os colaboradores;

b) As diversas ferramentas que são usadas para verificar vulnerabilidades podem ser utilizadas para a defesa do sistema, com o intuito de localizar as brechas para poder então, agir, então é essencial para a segurança da informação ter um bom monitoramento dos dados que estão trafegando pela rede e utilizar de diversas ferramentas para controlar o acesso à internet;

c) Muitas organizações acabam acreditando que os firewalls são a solução para os seus problemas, porém isso não é verdade, Nakamura e Geus (2010) ressaltam que muitas pessoas passam à falsa ideia de que os firewalls são a solução completa para a segurança, na verdade o firewall é o principal componente tecnológico da segurança, pois, sua função é ser a ponte entre duas redes, sendo possível autenticar pacotes legítimos e bloquear pacotes maliciosos, para garantir um nível aceitável de segurança em uma rede é necessário o uso do firewall juntamente com outros componentes, como o intrusion detection system (IDS) e também do intrusion prevention system (IPS), que são ferramentas essenciais para a segurança da informação.

4.5 Obtendo Informações Sobre Domain Name System (DNS)

Para realizar ataques em sistemas web, obter informações sobre DNS acaba sendo primordial, pois obtendo essas informações o atacante evita ataques desnecessários e isso faz com que seus ataques sejam mais sucedidos. Para realizar a proteção de um sistema web é muito importante obter tais informações, para dificultar ao máximo a obtenção de informações privilegiadas para pessoas com intenções de invadir o sistema. A configuração correta de DNS acaba sendo decisiva para evitar que pessoas consigam acesso a informações privilegiadas sobre os servidores no qual o sistema esteja hospedado.

Segue abaixo algumas informações que segundo Giavaroto e Santos (2013) são importantes e que um servidor DNS pode nos oferecer:

a) Registro SOA: Registro responsável pelo domínio, versão, atualização, expiração e valor TTL;

b) Registro NS: Registro dos servidores que são responsáveis pelo domínio;

c) Registro A: Registro dos endereços do domínio;

d) Registro CNAME: Registro que é usado como um apelido para o domínio, usando o CNAME pode-se atribuir vários nomes a um mesmo servidor;

e) Registro HINFO: Registro que fornece informações sobre o servidor DNS;

f) Registro MX: Registro que traz informações sobre o serviço de e-mail;

g) Registro PTR: Registro que associa endereços a nome de servidores.

4.6 Ferramentas

As ferramentas podem ser usadas tanto para a proteção de um sistema, como para realizar um ataque são as mesmas, depende muito se a intenção do usuário é boa ou não. A partir deste conceito temos uma vasta quantidade de ferramentas para se realizar os mais diversos tipos de testes de intrusão e usar os dados obtidos nestes testes para proteger o sistema ou para realizar ataques.

Considerando as seguintes ferramentas utilizadas por analistas de seguranças e hackers:

a) NMAP: Ferramenta criada por Gordon Fyodor Lyon, que segundo Giavaroto e Santos (2013) é uma ferramenta poderosa para realizar a varredura de portas e até mesmo para a detecção de versões;

b) NETIFERA: Ferramenta Open Source que realiza buscas DNS Lookup e que segundo Giavaroto e Santos (2013) possui um ambiente gráfico de fácil utilização. Esta ferramenta também realiza a descoberta de serviços TCP e UDP utilizados pelo servidor;

4.7 Relatos de Ataques no Brasil

O centro de estudos, resposta e tratamento de incidentes de segurança no Brasil (CERT.br) lançam estatísticas trimestrais e anuais de incidentes que são reportados para esse órgão. A seguir segue a estatística de quais tipos de ataques foram os mais realizados no período de janeiro a dezembro de 2013:

Figura 1- Índices de tipos de ataque reportados ao CERT.br

[pic]

Fonte: cert.br. Acesso em: 10 fev. 2014

Como pode ser visto nesse gráfico, os ataques mais ocorridos são os ataques de escaneamento, com as informações recebidas desse tipo de ataque podemos verificar quais portas estão sendo utilizadas, quais hosts estão ligados, dentre outras informações úteis que podem auxiliar uma invasão bem sucedida.

4.8 Ensino Presencial x Ensino à Distância

Apesar do Ensino à Distância (EAD) estar em alta, esse método começou há muito tempo, por volta dos ano de 1850 em vários países da Europa. Surgiu devido à algumas pessoas não poderem chegar até à escola e com isso tiveram esta ideia de aprendizagem, não deixando que houvesse diferenças entre pessoas de cidades grandes ou de cidades pequenas, como cita Litto (2010). Quando surgiu o EAD, esse processo era feito a partir de conteúdos textuais impressos que chegavam por correios.

Para Litto (2010), ensino presencial é aquele do qual professores e alunos se encontram em um local físico denominado sala de aula, sendo assim, conhecido como ensino convencional, já no ensino à distância, professores e alunos estão separados fisicamente no espaço e tempo, nesta modalidade é usada intensamente a tecnologia da informação e comunicação. Essas tecnologias do ensino à distância permitem que pessoas que moram longe das universidades ou instituições de ensino, ou até mesmo por falta de tempo, possam de a mesma maneira que os outros, terem um diploma digno.

Segundo Litto (2010), o EAD, leva vantagem sobre o ensino presencial, pois enquanto o ensino presencial necessita apenas de um professor, o EAD é preparado por vários especialistas agregando o melhor de cada um, sendo assim, o EAD é sempre planejado antes, o que muitas vezes não acontece no ensino presencial. Além de ser mais econômico, ele pode atender um número muito maior de pessoas que querem aprender.

Ainda de acordo com o autor, há muitos preconceitos com o ensino á distância, pois muitos alunos e professores não querem mudar, restringindo assim um novo ambiente de aprendizagem, acham que o aluno poderá “colar” em provas, pois sendo um ensino à distância não terá como controlar esse quesito. Algumas pessoas, principalmente professores não querem se adaptar às mudanças e rotulam o EAD como um “robô” do qual a conversa e aulas serão apenas por máquinas e conversas virtuais, mas o autor afirma que o EAD é muito mais do que uma simples leitura, memorização e prova.

Conclui-se que, a cada dia o EAD cresce e é procurada cada vez mais, porque é um método “fácil” para pessoas que tem seu tempo escasso ou que moram longe de alguma instituição de ensino, embora o EAD tenha muitas vantagens e estar cada vez mais em nosso cotidiano e em alto crescimento, há quem ainda prefira o ensino presencial, podendo opinar e tirar dúvidas no mesmo momento da aula há ainda quem diga que a aula “cara a cara” com o professor à sua frente e à sua disposição, é insubstituível (há controvérsias), mas o avanço dos recursos tecnológicos e inovações são inevitáveis, havendo então maior crescimento do EAD, e assim, teremos que estar aptos e abertos cada vez mais a essas mudanças.

4.9 Moodle

Construído pelo projeto Moodle e liderado pelo Moodle HQ, o Moodle é um software livre de aprendizagem pelo qual seu objetivo é fornecer educadores, administradores e alunos em um sistema com alta capacidade, segurança e integração de todos desse meio, contando com uma grande equipe de colaboradores, para adquiri-lo, basta baixar o software diretamente em seu servidor web ou pedir ajuda aos colaboradores da Moodle como cita o .

Como cita o Moodle, devido aos seus 10 anos de desenvolvimento o Moodle tem ampla credibilidade no meio de aprendizagem mundial, onde contém mais de 65 milhões de usuários, além de oferecer diversas ferramentas. Contém vários benefícios, tais como: fácil uso, é um software totalmente gratuito, é possível alterá-lo e adaptá-lo à suas necessidades individuais independentemente do seu projeto, pode ser ampliada, é segura, por ser desenvolvido para web pode ser acessado de qualquer dispositivo que contenha o serviço de internet, é suportado em uma comunidade internacional ativa e conta com o apoio dos seus colaboradores.

No entanto, o Moodle é um software que devido às suas características facilita o ensino e aprendizado virtualmente com, ou seja, à distância, com vídeo-aulas possibilitando a interação e comunicação entre todos os que fazem parte deste grupo, estilizando ao seu gosto todos os recursos necessários para melhor supri-los.

4.10 Kali Linux

De acordo com o Offensive Security o Kali Linux é uma distribuição atualizada e mais completa de sua versão anterior Back Track que faz testes de penetração e auditoria de segurança Linux, ou seja, trabalha para que dados não possam ser acessadas ou vazados de um determinado local sem o consentimento da organização, é um software gratuito. Sua equipe é constituída de poucas pessoas sendo ela de confiança, tornando-se mais seguro.

Como consta em sua linguagem padrão é o inglês, mas o Kali Linux possibilita que os seus usuários traduzam para seu respectivo idioma, está disponível para vários dispositivos possuindo mais de 300 ferramentas utilizáveis.

Conclui-se que o Kali Linux é uma distribuição Linux nova, mais robusta e com ferramentas adequadas e atualizadas às necessidades do uso do usuário, mantendo-se sempre grátis e seguro.

5. MATERIAIS E MÉTODO

A pesquisa será do tipo interferência, onde iremos criar um ambiente virtualizado que será instalada a ferramenta Moodle em uma máquina virtual com o sistema operacional Ubuntu server, haverá também uma máquina virtual com o sistema operacional Kali Linux.

Após instalado e configurado o Moodle a máquina com o Kali Linux irá utilizar da ferramenta Nmap e Netifera para recolher informações que podem ser úteis para realizar diversos tipos de ataques ao sistema, e será listado e analisado todas essas informações e verificar quais pontos deste sistema estão vulneráveis a ataques.

Após a listagem e análise das vulnerabilidades encontradas, serão analisadas quais ferramentas Open Source podem ser utilizadas para proteger este sistema, fechando as brechas que foram encontradas e após a análise dessas ferramentas, serão implementadas as ferramentas que podem proteger o sistema contra ataques, mas mantendo o sistema acessível aos clientes.

Por último será realizado um segundo ataque ao sistema, porém dessa vez com as ferramentas de proteção implementadas e após esse ataque será feita uma listagem das informações obtidas pelas mesmas ferramentas utilizadas no primeiro ataque e após a listagem das informações obtidas pelo sistema, será feito uma comparação do ataque ao sistema antes e depois da implementação das ferramentas instaladas para proteger o sistema, e concluir quais foram os resultados obtidos, se a implementação de segurança no sistema Moodle foi ou não eficaz para proteger o sistema de ataques do tipo escaneamento.

6 CRONOGRAMA DE EXECUÇÃO

Cronograma desde o Projeto até a Defesa do TG2.

Fevereiro/Março/2014 – Definição do tema do trabalho de graduação;

Fevereiro/Março/2014 – Definição das hipóteses e justificativa;

Abril/2014 – Definição dos objetivos do projeto;

Abril/Maio/2014 – incluir o referencial teórico, definir os materiais e métodos que deverão ser utilizados e destacar os resultados esperados;

Junho/2014 – Defesa TG 1;

Julho/Agosto/2014 – Instalação das máquinas virtuais (servidor e máquina atacante);

Julho/Agosto/2014 – Instalação e configuração do Moodle;

Agosto/Setembro/2014 – Atacar o servidor Moodle e listar os resultados do ataque;

Agosto/Setembro/2014 – Analisar os resultados e listar as possíveis soluções;

Outubro/Novembro/2014 – Aplicar soluções e ferramentas para a proteção do sistema;

Outubro/Novembro/2014 – Realizar o segundo ataque e listar os resultados;

Outubro/Novembro/2014 – Comparar os resultados dos ataques de antes e depois da proteção do sistema;

Novembro/2014 – Conclusão e apresentação do TG 2.

7 RESULTADOS ESPERADOS

Espera-se encontrar vulnerabilidades através de ferramentas de port scanning no servidor onde o Moodle está instalado, esperamos também listar as vulnerabilidades encontradas no servidor e analisar os possíveis tipos de ataques que podem ser realizados a partir da verificação e espera-se também encontrar soluções para fechar as brechas que se tornaram conhecidas através do port scanning do servidor, e implementar essas soluções e verificar se de fato essas soluções garantiram uma maior segurança no sistema, podendo garantir a confidencialidade e a integridade dos dados hospedados no servidor com o sistema Moodle instalado.

8 REFERÊNCIAS

GIAVAROTO, S. C. R.; SANTOS, G. R. dos. Backtrack Linux: Auditoria e Teste de Invasão em Redes de Computadores. São Paulo: Ciência Moderna Ltda, 2013.

LITTO, F. Aprendizagem à distância. São Paulo: Imprensa Oficial do Estado de São Paulo, 2010.

MOODLE. Disponível em: . Acesso em: 02 abr. 2014.

NAKAMURA, E. T.; GEUS, P. L. de. Segurança de Redes em Ambientes Cooperativos. Rio de Janeiro: Novatec Editora Ltda, 2010.

OFFENSIVE SECURITY. Kali Linux. Disponível em:. Acesso em: 03 abr. 2014.

................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download