Fábrica de Software do Cesupa

Mesmo no período de férias acadêmicas os alunos Caiky Araújo, Eskarlet Medeiros, Matheus Manito e Tiago Maia, estiveram na Fábrica de Software do Cesupa para fazer a reestruturação do rack.

Serviços esses realizados nos dias 27/12/11 (8:00 hs às 15:00 hs) e 28/12/11 (8:00 hs às 17:00 hs).

Parabéns pelo emprenho de todos o serviço ficou excelente.

Mensagem de Natal

Dê um CLIQUE DUPLO neste NATAL!
ARRASTE JESUS para seu DIRETÓRIO PRINCIPAL,
SALVE-O em todos seus ARQUIVOS PESSOAIS,
SELECIONE-O como seu DOCUMENTO MESTRE.
Que ele seja seu MODELO para FORMATAR sua vida:
JUSTIFIQUE-a e ALINHE-a À DIREITA e À ESQUERDA, sem QUEBRAS na sua caminhada.
Que JESUS não seja apenas um ÍCONE, um ACESSÓRIO,
uma FERRAMENTA, um RODAPÉ, um PERIFÉRICO,
um ARQUIVO TEMPORÁRIO, mas o CABEÇALHO, a LETRA CAPITULAR, a BARRA DE ROLAGEM de seu caminhar.
Que Ele seja a FONTE de energia para sua ÁREA DE TRABALHO,
o PAINTBRUSH para COLORIR seu sorriso, a CONFIGURAÇÃO de sua simpatia, a NOVA JANELA para VISUALIZAR o TAMANHO de seu amor.
No seu dia-a-dia, seja Ele o PAINEL DE CONTROLE para DESFRAGMENTAR sua vida, fazer DOWNLOAD de seus sonhos
e OPTIMIZAR suas realizações.
DESATIVE seu egoísmo, COMPACTE suas liberdades, CANCELE seus RECUOS, e DELETE seus ERROS.
COMPARTILHE seus RECURSOS, ACESSE o coração de seus amigos.
e ESCANEIE para eles o que você tem de bom.
Não deixe à MARGEM ninguém, ABRA as BORDAS de seu coração
e REMOVA dele o VÍRUS do desamor.
Antes de SAIR, coloque JESUS nos seus FAVORITOS e seu NATAL será o ATALHO para sua felicidade!
CLIQUE agora em OK para REINICIAR e ATUALIZAR seus CONTEÚDOS
E aproveite a sua noite de NATAL.

Reportagem TV Cultura.

Exibida em 21/10/11

TCC dos Alunos do Cesupa desenvolvidos na Área de Redes de Compudores

Com intuito de mostrar os trabalhos acadêmicos feitos no Cesupa na área de Redes de Computadores estaremos disponibilizando ao Lado em Aulas, Materiais, Palestras e TCC os trabalhos feitos pelos alunos.

Aproveito a oportunidade para convidar para as apresentações dos 03 últimos trabalhos que será no dia 02/12/11 no Auditório do Cesupa da Gov. José Malcher. Apartir das 16:30 hs.

TCC Cesupa - 2009 - TPD - VPN Uma solucao para interligar com segurança e economia

TCC Cesupa - 2010 - BCC - Segurança da informação Principais medidas de segurança em servidores Linux segundo

TCC Cesupa - 2011 - BSI - CONHECENDO ATAQUES E FORTALECENDO DEFESAS EM UMA REDE HOTSPOT

TCC Cesupa - 2011 -BCC - Análise da rede Wi-Fi do Cesupa Governador José Malcher em relação a interferências de Rádio Frequência, Alcance e Áreas de Sombra

TCC Cesupa - 2011 -BCC - SOLUÇÃO DE INFRAESTRTURA EM REDES DE COMPUTADORES COM REDUNDÂNCIA DE LINKS UTILIZANDO O PROTOCOLO STP

TCC Cesupa 2011 - BCC - Estudo de Caso da Solução de Virtualização de Servidores da CINBESA Analisando Custo e Desempenho

Artigo - A Segurança da Informação e as Redes Sociais

Escrito por Davison R. Gustavo Junior (djgustavo@gmail.com) e orientado pelo Prof. Eudes Danilo Mendonça (eudesdanilo@gmail.com)

Resumo. Um dos meios de comunicação na internet mais usados ultimamente são as redes sociais,
onde pessoas se encontram para trocar informações, importantes ou não. É por causa da importância
dessas informações que a segurança da informação deve estar presente, também, neste meio. Este
artigo abordará o estudo de como deve funcionar a segurança nessas redes, falando um pouco sobre
perfis de usuários, métodos de ataque e prevenção, além de discutir pontos de vistas sobre o tema.

Palavras-chave: Segurança da Informação, Redes Sociais, Vulnerabilidade, Engenharia Social
Information Security and Social Networks

Abstract. Recently, one of the most used communications medias are member community sites,
where different people get together to exchange types of information, even if it is important or not.
It's because of the importance of this information that information security must be present also in
this situation. This article will address how security should work in these networks, talking a little
about user profiles, methods of attack and prevention, and discusses viewpoints on the subject.
Key words: Information Security, Social Networks, Vulnerability, Social Engenieering

1. CARACTERIZAÇÃO DO PROBLEMA
Com a crescente popularização das redes sociais as pessoas tendem a centrar suas atenções
para este tipo de serviço, muitas das vezes sem pensar no que podem estar fazendo e que isso pode
ser mais perigoso do que aparenta ser.

2. TRABALHOS RELACIONADOS
A pesquisa por este tema leva a um caminho ainda pouco percorrido por pesquisadores em
publicações científicas, pois o estudo desta linha se dá ao entendimento de duas áreas distintas na
computação: O estudo de Redes Sociais e o estudo da Segurança da Informação. Para então, a partir
deste ponto observar como o usuário, ou o sistema, pode ser falho em algum momento durante o
uso do serviço.

3. REDES SOCIAIS

3.1. O que são?
Redes de computadores são um “conjunto de computadores autônomos interconectados por
uma única tecnologia” (Tanenbaum, 2004). A partir desse conceito, conclui-se que redes sociais
podem ser um conjunto de pessoas autônomas interconectadas a Internet: utilizada para trocar
informações sobre um mesmo interesse.

3.2. Utilidade
A utilização de redes sociais pode trazer vários benefícios: como conversar com pessoas
geograficamente distantes, conhecer pessoas importantes, compartilhar informações e datas
especiais. Além dos benefícios para a pessoa física, o uso de redes sociais também beneficia muitas
empresas. Quando se fala em promover imagem, expor produtos e serviços, o lugar mais procurado
para isso seria onde possam existir vários possíveis clientes, e é essa uma das vantagens oferecidas
pelas redes sociais para o meio corporativo.

4. A SEGURANÇA DA INFORMAÇÃO NA REDE SOCIAL

4.1 É seguro usar redes sociais?
O uso de redes sociais, assim como qualquer outra ferramenta usada no computador pode
ser perigoso, saber se é seguro ou não depende dos cuidados do usuário. Manter o computador e
todos os seus programas atualizados ajuda bastante com o incremento de segurança. Usuários que
não atualizam seus computadores frequentemente correm sérios riscos com seus dados acessados e,
consequentemente, roubados na internet. Estes riscos recebem o nome de vulnerabilidades, que são
condições capazes de ativar violação de políticas na rede (Walen; Bishop; Engle, 2005). Essa
vulnerabilidade se origina a partir de falhas na segurança localizadas no software e compartilhadas
na internet entre pessoas que procuram acessar os dados usuários, assim esses grupos lançam um
código de invasão para passar pela falha. Por isso, então que a atualização é tão importante, essas
são publicadas na internet para acabar com a possibilidade de acesso a alguma falha descoberta.

4.2 Quem são as vítimas de ataques em redes sociais?
Qualquer pessoa que faça parte de uma rede social pode ser vítima de ataques, tendo em
conta que todo tipo de informação pode ser interessante para alguém. Sabendo que uma informação
pode ser roubada, tem-se então uma possível vítima. Para estudar quem são as vítimas desses
ataques será necessário estudar antes, quem usa redes sociais e o que essas pessoas fazem com a
mesma.

4.2.1 Quem usa redes sociais?
A melhor maneira de estudar as vítimas de ataques em redes sociais é dividindo os grupos de
usuários atacados para facilitar o entendimento do porque do ataque. Dividem-se, basicamente, em
3 grupos diferentes os usuários dessas redes: Usuários corporativos, usuários adultos e usuários
não-adultos. Como dito anteriormente, cada pessoa, ou grupo de usuário, disponibiliza algum tipo
de informação na internet, está ai o começo do problema. Usuários corporativos usam a internet a
fim de vender sua imagem ou algum produto específico. Usuários adultos e usuários não-adultos
utilizam desses serviços para conversar com amigos e trocar conhecimentos em diversas áreas de
interesse.

Figura 1. Uso de redes sociais aumentando no meio de outros serviços on-line.

A Figura 1 (Nielsen, 2009) ilustra o quanto as redes sociais estão atraindo mais usuários,
indicando assim que esse serviço é o quarto mais usado na internet. Pesquisas mostram que dois
terços das pessoas que tem acesso a internet visita redes sociais ou blogs, e este setor acumula cerca
10% do tempo de estadia on-line.

Figura 2. Usuários de redes sociais divididos por países.

Ao analisar a Figura 2 (Nielsen, 2009), percebe-se que a personalidade deste tipo de serviço
cresce bastante e que o uso do mesmo é intenso no Brasil, onde vê-se que 80% dos internautas
navegaram em sites do gênero. A grande explosão de acessos a redes sociais no Brasil se deve ao
Orkut (Nielsen, 2009) e sua aceitação por mais de 70% dos internautas nacionais, acessos esses
garantidos pelo menos uma vez por mês. Valendo lembrar que a rede social mais usada é o
Facebook (Facebook, 2009), sendo mensalmente acessado por três em cada dez pessoas.

Tabela 1. Perfil de usuários brasileiros

A Tabela 1 (Cetic.br 2008) indica, no Brasil, qual o perfil da pessoa usa rede social,
mostrando desde sua região até a renda, a fim de mostrar que pessoas diferentes usam o serviço,
junto com o acesso a fóruns de discussão e manuseio de web sites e blogs. Voltando a falar sobre
redes sociais, a esta última tabela é capaz de mostrar, por exemplo, que o percentual de usuários
divididos por região segue uma média aproximada, ou seja, o risco de ataque é quase o mesmo para
todas as regiões. Enquanto que o maio número de visitantes está entre os 10 e 24 anos diminuindo a
porcentagem com o envelhecer, indicando que o foco da educação para a segurança na internet
deveria ser neste intervalo etário para que possa ser mais perceptível o decremento de violações online
(não que violações não possam acontecer com pessoas mais velhas, mas seria recomendado
focar as atenções para o maior grupo de acesso, isso se fosse preciso escolher um grupo para educar
ao invés de ensinar a todos como usar, sem riscos, essas redes).

4.3 O que essas vítimas podem perder com isso?
Como citado anteriormente, qualquer tipo de informação pode ser válida para alguém, desde
o preço de um produto, até o passa-tempo preferido de alguém. Imagine, por exemplo, uma empresa
X vendedora de carro com plano de lançar o automóvel do ano, agora imagine a empresa Y, que
também vende esse tipo de veículo. Quanto a empresa Y seria capaz de investir para descobrir o
projeto e os valores usados pela empresa X? Imagine agora uma criança deixando amostra em uma
rede social todos os seus dados, sem qualquer limitação. Será que esses dados seriam interessantes
para um sequestrador? Ao usar qualquer meio de comunicação na internet a pessoa já esta exposto a
qualquer pessoa que também usufrua deste meio, logo é preciso pensar no que poderia acontecer
com a informação que se quer divulgar antes da divulgação.

O maior problema dessas redes sociais está no fato de não poder permitir acesso às suas
informações para somente aqueles que são confiáveis, abrindo assim uma grande brecha de
segurança. Como se garantir de que aquele amigo pedindo seu endereço é realmente aquela pessoa,
e não um desconhecido fingindo ser o amigo?
A partir do ponto em que se confia em alguém para passar uma determinada informação,
pode-se por toda essa informação a perder.

Continuação ARTIGO - A Segurança da Informação e as Redes Sociais

4.4 Quem são os “atacantes” nas redes sociais?
Para melhor entendimento, observa-se que existem três tipos de ataque (Dulaney, 2009).
O responsável por esses ataques em uma rede social pode qualquer pessoa que queria
adquirir uma informação de maneira ilegal, também pode ser um “atacante” aquela pessoa que é
enviada para roubar a informação sob um pedido de um outro alguém. Mas grande número desses
ladrões agem por conta própria para ganhar conhecimento, saber mais sobre algum assunto de seu
interesse ou para mostrar para si mesmo, e para os outros, que é capaz de conhecer muito mais do
que o normal sobre qualquer pessoa.

Recordando os grupos de usuários citados no tópico 4.1, considera-se que também possam
existir grupos de “atacantes” para cada grupo de usuário. Usuários não-adultos correm riscos por
serem o meio mais confiante nos contatos da internet, disponibilizando dados sem qualquer
desconfiança. Usuários adultos são vítimas de ataques a roubo de dados, pois acessam sites como
bancos, compras na internet e outros que envolvam números e senhas de cartões, além de dados
cadastrais, como RG, CPF e endereço. Já os usuários corporativos são vítimas quando se trata ta
tentativa de furto de dados por outras empresas que queiram acompanhar mais do que devem sobre
algum item ou andamento, assim como foi citado no exemplo das empresas X e Y no tópico 4.3.
Chegando a este ponto, confirma-se o que foi escrito no tópico 4.0: “Qualquer informação é válida
para alguém”.

4.5 Métodos de ataque a redes sociais.
De acordo com uma pesquisa realizada pela empresa Breach (Brach, 2009), ver Figura 4,
hacker estão visando, principalmente, ataques a páginas da web, o que se dá a diversas
vulnerabilidades de XSS, ou Cross Site Scripting, somado ao fato de que essas vulnerabilidades
ainda não são discutidas da maneira que deveriam ser.

Figura 4. Principais alvos de ataques cibernéticos em 2009

São várias as maneiras de conseguir dados roubados pela internet, nessa seção serão
discutidas algumas dessas maneiras observando como as mesmas funcionam.
Uma das principais estratégias de furto de dado é através do Phishing, “Phishing é uma
forma de engenharia social em que é feito um pedido por um pedaço de informação de interesse
fazendo parecer um pedido legítimo”, (Dulaney, 2009). O Phishing acontece, principalmente,
através de e-mails falsos de alguém querendo se passar por uma outra pessoa ou empresa existente,
muitas das vezes recebido em forma de Spam, o que pode ser qualquer e-mail não desejável,
requisitável, (Dulaney, 2009), pedindo senhas ou informações críticas. Se informados, esses dados
podem ser usados por este ladrão querendo, agora, se passar por você para multiplicar o dano e
roubar mais dados. Mas o phishing também pode acontecer em redes sociais, onde aquele ladrão
citado anteriormente rouba os dados do usuário de uma rede, quando o usuário original esqueceu
seu perfil aberto em um computador público, por exemplo. Agora o suspeito tem acesso a todos os
dados desse usuário, e pode, também se passar por ele para conseguir informações.
Assim como o Phishing, existe Engenharia Social, uma maneira diferente dos outros
métodos de ataque porque não impõe o roubo da informação, mas sim a criação de uma confiança
sobre terceiros que acabam disponibilizando seus dados confiando que a pessoa que está pedindo tal
dado. Existem especialistas na área de Segurança da Informações contratados para trabalhar dentro
de determinadas empresas com este papel, o de ganhar a confiança de outros funcionários e, após
isso, pedir dados confidenciais, quebrando assim mais uma brecha de segurança. Ao ser
perguntando a respeito de qual seria seu tipo de ataque favorito em uma rede social, Ben Rothke
(Rothke, 2009) respondeu que “o ataque mais simples seria simplesmente pedir a informação”, e
concretizou sua resposta afirmando que “ as pessoas dão essa informação por não estarem
percebendo que fazê-lo seria perigoso. Se o pedido for gentil e bem feito, o pedido pode vir
acompanhado de mais dados do que necessário”. E é basicamente neste exemplo que está a
engenharia social. Você daria seus dados para um amigo, sendo ele quem for?
Além dos métodos de ataque citados anteriormente, tem-se a Geolocation, que é a pesquisa
da localização física de alguém através do endereço de IP. De acordo com a revista (in)Secure
(Touchette, 2009), um aplicativo para localização de IP pode estar em um iframe, ou seja, código
html capaz de determinar a abertura de uma página, ou script, oculta ou não dentro de uma outra
página, com isso observa-se que o processo acontece sem o conhecimento do usuário. A
Geolocation pode ter suas vantagens, como por exemplo, ter controle de onde os filhos andam, mas
se usada de maneira mais específica, pode mostrar a cidade, o bairro, a rua e até mesmo a casa onde
se encontra o usuário de um determinado IP.
Um quarto método de ataque se deve principalmente ao Twitter (Twitter, 2009) e o limite de
140 caracteres por mensagem. O mini-blog que limita o número de letra por publicação deu origem
ao serviço de Encurtamento de URL, que tem como característica a criação de um endereço url
curto a partir de um endereço de entrada. São vários os sites que disponibilizam o serviço de graça e
sem nenhuma restrição de acesso, tornando assim a web menos reconhecível, tendo que uma das
maneiras mais fáceis de reconhecer a integridade de um endereço era pesquisando pelo mesmo, o
que, se aplicado ao Encurtamento de URL não funcionaria mais. Apesar de seu lado positivo que
supre a necessidade de encurtamento de mensagens em mini-blogs, tem seu lado obscuro, que cega
as pessoas perante links.

4.6 Prevenção
Sabendo das diversas maneiras de atacar um usuário de redes sociais, e analisando-as de
maneira detalhada pode-se chegar a uma maneira de se prevenir de cada um desses ataques.
Quando se corre um possível risco de Phishing é recomendado que se procure pelo
remetente daquele pedido usando outro meio de comunicação mais confiável, como o telefone, por
exemplo. Procurar a pessoa é uma maneira infalível de acabar com este método de ataque, já que o
remetente pode vir ou não a confirmar o pedido, deixando claro que ter fornecido aquela
informação anteriormente seria uma roubada, ou não. Para resolver o problema da Engenharia
Social, perguntar para o remetente sobre o pedido da informação ainda ajuda por ser um ataque
quase parecido com o citado anteriormente, tendo pedido em mãos o objetivo agora é saber o
porque do mesmo.
A Geolocation é um método mais difícil de ser tratado, pois como citado anteriormente, ele
pode estar acontecendo de maneira totalmente transparente ao usuário final, mas se analisado com
cuidado, tem-se que os problemas de alguém sob observação geográfica são problemas não
considerados falha de segurança da informação, como por exemplo, possível assalto, pessoa sendo
seguida e/ou observada, entre outros. Fatos esses que poderão ser tratados melhor por outros tipos
de seguradores.
Já para o Encurtamento de URL, do mesmo modo que existem encurtadores de endereços,
existem ferramentas que analisam endereços encurtados, mostrando assim a verdadeira fonte de
determinado link.
Logo, para qualquer método de tentativa de roubo de informação existe algum método
controverso que ajuda a lhe dar com o roubo. Vale ressaltar que a melhor maneira de se prevenir e
aumentar a segurança na internet é através da educação: descobrir a origem de ataques; como esses
ataques são feitos; quem são os possíveis ladrões de informações; o que se está fazendo com seus
dados e se existe um jeito melhor de protegê-los é a maneira mais eficiente de trabalhar essa
segurança.
Aos não-adultos é extremamente recomendável a companhia dos pais durante o acesso a
internet, ou uma boa conversa para mostrar que a mesma pode trazer muitos perigos se a
oportunidade a alguém mal intencionado for dada. Aos adultos que lhe dão com dados valiosos, o
interessante seria entrar em contato com as empresas que pedem por esses dados e conversar um
pouco mais sobre como se proteger da melhor maneira possível. Já para empresas, o modo de tratar
essas brechas é um pouco mais crítico, pois não depende de poucos, mas sim de todos os que usam
dados da organização em redes como essas, e por causa disso essas pessoas deveriam ser treinadas e
educadas quanto aos perigos, método esse bastante usado por corporações com funcionários
cadastrados em redes sociais.

5.0 CONCLUSÃO
As redes sociais existem sob um propósito, e esse propósito chama a atenção de usuários
para cadastramentos futuro. Se, após pesar se vale ou não usar as redes sociais levando em
consideração as falhas de segurança, não fosse interessante usar redes sociais, estas não seriam
fonte de horas e horas de diversão e trabalho durante a estadia na internet.
Ataques e tentativas de roubo de informações sempre vão acontecer tanto por falha humana
quanto por falha de máquina, e por causa disto sempre vão existir pessoas capacitadas em segurança
da informação para educar vítimas de quem tenta lucrar com informações alheias. Essa é a coevolução
da segurança da informação versus os ladrões cibernéticos, uma briga sem data pra
terminar.

REFERÊNCIAS
Rothke, Ben. Inforation Security and Social Networks. O'Reilly Webcast. Setembro, 2009.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed.Editora Campus, 2003. Tradução. 995 p.
Whalen, Sean; Bishop, Matt; Engle, Sophie. Protocol Vulnerability Analysis. 2005. 14 p.
Nielsen. (2009) “Global Faces and Network Places – A Nielsen report on Social Networking’s New
Global Footprint ”, em
http://blog.nielsen.com/nielsenwire/wpcontent/uploads/2009/03/nielsen_globalfaces_mar09.pdf.
Orkut. Disponível em www.orkut.com, acessado em 13 de outubro de 2009.
Facebook. Disponível em www.facebook.com, acessado em 13 de outubro de 2009.
Cetic.br. (2008) “Pesquisa Sobre o Uso das Tecnologias da Informação e da Comunicação no Brasil
2008”, em http://www.cetic.br/tic/2008/index.htm, p. 232.
Dulaney, Emmet. CompTIA Security+: Deluxe Edition. 1. ed. Indianopilis: Sybex, 2009. 676 p.
Breach. (2009) “The Web Hacking Incidents Database 2009”, em
http://www.breach.com/resources/whitepapers/downloads/WP_TheWebHackingIncidents-2009.pdf.
Touchette, Fred. (2009) “A look at geolocation, URL shortening and top Twitter threats”. Em:
(In)Secure Magazine, Editado por Zorz, Mirko.
Twitter. Disponível em www.twitter.com, acessado em 13 de outubro de 2009..
Orkut Segurança. Segurança: Central de Privacidade e Segurança,
http://www.google.com/support/orkut/bin/answer.py?hl=br&answer=48579.
Blog Orkut. Mantendo-se Seguro no Orkut, http://blog.orkut.com/2009/05/mantendo-se-seguro-noorkut.
html, acessado em 20 de outubro de 2009..

Semana Nacional de Ciência e Tecnologia (SNCT)

Acontece no Brasil desde 2004 por iniciativa do Ministério da Ciência e Tecnologia buscando a popularização da Ciência.
O GET participou com duas palestras uma dia 19/10/2011 com o Tema "Aprenda a deixar seu computador seguro"  ministrado pelos alunos Matheus Manito e Pedro Anaisse e dia 21/10/2011 com o Tema "Hackers: técnicas de invasão, aprenda a se defender" pelo Prof. Eudes Danilo Mendonça

Computação Amostra

Equipe:

Palestra: Como deixar seu computador seguro (Matheus Manito e Pedro Anaisse)

Palestra: Ténicas de Invasão: Como se defender (Prof. Eudes Danilo Mendonça)

ARTIGO: Análise dos Protocolos de Segurança em Redes Sem Fio: WEP, WPA e WPA2

Autor: Daniel Leal Souza (daniel.leal.souza@gmail.com)

Oorientado por Eudes Danilo Mendonça (eudesdanilo@gmail.com)

Resumo — Com o crescimento das redes wireless, fez-se necessário a utilização de protocolos de segurança que permitem o controle de autenticação de usuários. Este trabalho tem por objetivo mostrar as principais características dos protocolos de segurança disponíveis pelo padrão IEEE 802.11i (WEP, WPA e WPA2). Serão mostradas as principais características bem como a aplicação em diferentes necessidades.

Palavras-chave: Criptografia, Wi-Fi, Segurança, IEEE 802.11i

I.            Introdução

Nos últimos anos, a tecnologia de rede sem fio vem crescendo de forma bastante significativa, em paralelo a popularização de dispositivos móveis que utilizam uma gama de protocolos de transmissão de dados sem fio (Wi-Fi, EDGE, 3G), que de acordo com [1], se presentam como uma opção viável de conectividade para diversos estabelecimentos empresariais. Porém, em adição a essas vantagens, conexões sem fio apresentam novos riscos a segurança dos dados que trafegam nela, como, interceptação de informação por qualquer usuário malicioso que esteja ao alcance do sinal, daí a necessidade de utilização de protocolos de segurança, como os especificados no padrão IEEE 802.11 (WEP), sua variante (WPA) e o IEEE 802.11i (WPA2) [3].

Este artigo tem como objetivo, um estudo sobre os protocolos de segurança usados em tecnologia de rede sem fio baseadas no padrão IEEE 802.11 (a,b,g,n), além de mostrar descrições detalhadas de cada uma delas, comparativos, falhas e aplicabilidade com recomendações para uma implementação segura.

II.        Preocupação com a Segurança de Informação

A segurança da informação cada vez mais se apresenta como prioridade. Segundo [4], fatores como autenticidade, integridade, confidencialidade e a disponibilidade da informação são primordiais as empresas. Ao serem submetidas a redes sem fio como canal de comunicação, para que haja segurança, se faz necessário o uso de técnicas de criptografia.

De acordo com [3], criptogafia de dados significa codificá-los através de um algoritmo e um mecanismo de chave secreta (simétrica ou assimétrica) de tal forma que apenas o destinatário, que possui a chave, especificado pelo remetente possa decodificar a mensagem.

III.      Autenticação

Todo processo que envolve acesso a uma rede (com fio ou sem fio), passa por um processo de autenticação. Segundo [5], numa solução ideal, cada usuário da rede deveria possuir uma identificação única, além de ser pessoal e intransferível, fazendo com que outro usuário não seja autenticado como se fosse outro. Este cenário é muito difícil de ser aplicado no mundo real.

Dentre as diversas soluções propostas por [5], podemos citar a utilização dos endereços MAC, que é o endereço de 48 bits presente na interface de rede, que permite a autenticação através do endereço único presente em cada procedimento chamado filtragem de MAC. O problema desse tipo de implementação é que o Acces Point pode ficar sobrecarregado com vários endereços MAC além do fato de que o endereço MAC pode ser mudado via software.

Dentre outras soluções para autenticação podemos citar o uso de SSID para rede fechada e os protocolos de autenticação com criptografia, abordado nos próximos tópicos.

IV.      Protocolos de Segurança

A.    IEEE 802.11 Wired Equivalent Privacy (WEP)

O padrão IEEE 802.11 para segurança WEP foi um dos primeiros propostos para inserir uma camada de segurança nas conexões sem fio [2]. Utiliza chaves compartilhadas (shared keys) e processa os dados usando chaves iguais em ambos os dispositivos de conexão. Ele utiliza o algoritmo de encriptação chamado RC4, ou seja, utiliza criptografia simétrica (uma única chave para encriptar e desencriptar os dados).

O WEP possui dois elementos básicos: Uma chave única e estática, com tamanho de 40 ou 104 bits além de uma chave dinâmica chamada de Vetor de Inicialização com tamanho de 24 bits, que será usado posteriormente para gerar o Keystream. Essas chaves passam por um processo de concatenação, formando assim uma chave de 64 ou 128 bits [1]. Os próximos passos são descrios a seguir [1]:

·         Aplicação do algoritmo de encriptação RC4 na chave para a geração do Keystream;

·         Concatenação dos dados e do valor de verificação (checksum) seguido de encriptação por uma função binária (OU Exclusivo - XOR) entre o resultante da concatenação e o Keystream;

·         Envio do fluxo resultante da operação junto com o Vetor de Inicialização, possibilitando a desencriptação dos dados no outro ponto (destinatário).

A Figura 1 demonstra o funcionamento do WEP.

Figura 1 - Esquema de funcionamento do protocolo WEP. Fonte: [8]

O WEP possui a vantagem de ser usado em qualquer Access Point sem maiores problemas, e ainda é muito utilizada principalmente em redes domésticas, onde se pressupõe que todos os usuários da rede são confiáveis e com baixo risco de vazamento da chave para utilização maliciosa [2]. Em síntese, a maior vantagem do WEP é a sua interoperabilidade por ser um padrão [2].

No entanto, diversas vunerabilidades foram encontrados neste protocolo após diversos estudos feitos [5]. As vunerabilidades, desvantagens e falhas são descritas a seguir:

·         A chave WEP é compartilhada entre todos os usuários cadastrados, sendo que em caso de invasão ou autenticação de pessoas não-autorizadas, a troca de senha pode ser impraticável, pois será necessário a reconfiguração dos Access Points e dos dispositivos que se conectam a eles (cliente) [5];

·         Como todos os usuários compartilham a mesma chave, é possível realizar espionagem de tráfego de outros usuários;

·         Geralmente a escolha das chaves são bem simples, facilitando assim a quebra por técnica de força bruta;

·         A troca das chaves devem ser feitas manualmente tanto no Access Points quanto nas máquians cliente;

·         O padrão WEP estipula um Vetor de Inicialização relativamente pequeno;

·         Podem ocorrer colisão de pacotes devido a reinicialização do contador do Vetor de Inicialização [6].

B.    Wi-Fi Protected Access (WPA)

Desenvolvido posteriormente ao WEP com a finalidade de lidar com os problemas do WEP é também conhecido como WEP2. O WPA trouxe algumas modificaçãoes significativas, embora pequenas em relação ao WEP para que se mantesse a compatibilidade com o padrão IEEE 802.11. Algumas modificações importantes incluem a autenticação por usuário usando, além do padrão IEEE já especificado, também o EAP (Extensible Authentication Protocol) [1].

Segundo [1], WPA oferece procedimentos de criptografia significativamente mais seguros e fortes, podendo usar chaves privadas compartilhadas, chaves únicas projetadas para cada usuário da rede ou mesmo certificações SSL para autenticação no cliente e/ou no Access Point [5][6]. A Figura 2 mostra um esquema do protocolo WPA.

Figura 2 - Esquema de funcionamento do protocolo WPA Fonte: [8]

A principal vantagem do WPA em relação ao WEP  é o protocolo TKIP (Temporary Key Integrity Protocol) [5]. Este protocolo permite uma troca dinâmica de chaves de tamanho maior do que as utilizadas pelo protocolo WEP (entre 40 a 104 bits, vide tópico IV, item A) [1]. Com chaves estáticas de tamanho 128 bits e Vetor de inicialização de 48 bits, o WPA permite que cada pacote da rede seja enviado com chaves mais seguras, com um número maior de combinações e de encriptação diferente (criptografia dinâmica) [2]. Segundo [6], o WPA apresenta dois tipos de chaves:

·         Pairwise Key: Utilizado para que possa haver comunicação direta entre duas estações ou entre Access Points diferentes. É denominada como uma comunicação unicast;

·         Group Key: Usado para comunicação entre todas as outras estações da rede, em uma transmissão broadcast. Pode ser também usado para transmissões multicast em uma comunicação com um grupo de estações.

Existem diversas variações do WPA. Podemos detacar as seguintes [6]:

·         WPA-PSK: Recomendada tanto para ambientes domésticos (residenciais) quanto para corporativos, fortaleçe a criptografia em que as chaves de criptografia (TKIP) são frequentemente mudadas, garantindo mais segurança em caso de ataques. Neste modelo, a chave primária será originada pela própria chave secreta no Access Point;

·         WPA em protocolo RADIUS: Muito usada em empresas, onde se utiliza um servidor RADIUS (Remote Authentication Dial-in User Server) para autenticação dos usuários.

Embora seja altamente recomendado a utilização do WPA em substituição ao WEP, cientistas japoneses descobriram vulnerabilidades graves que permitem a quebra em minutos [7]. Dentre outras desvantagens, podemos citar:

·         Sucetível a ataques de Negação de Serviço (DoS);

·         Pode sofrer ataques de dicionáro através de força bruta;

·         Nem todos os roteadores são compatíveis com este protocolo. Em alguns casos, é possível habilitar o WPA através de uma atualização de firmware;

·         O tamanho dos pacotes é maior do que o do WEP.

C.    IEEE 802.11i Wi-Fi Protected Access 2 (WPA2)

O WPA2 foi introduzido pela IEEE e pela WiFi Alliance com a intenção de aproveitar os esforços deodesenvolvimento do WPA e fazer uma nova certificação para as redes sem fio. Segundo [1], a proposta do WPA2 é substituir o WEP e outras características derivadas do padrão antigo, além de suportar os recursos adicionais de segurança não disponíveis no WPA.

Uma das principais novidades do WPA2 é a utilização do algoritmo de criptografia AES junto com o TKIP, aumentando o tamanho da chave para 256 bits, enquanto que o WPA utiliza o algoritmo RC4 com TKIP. Dentre outras vantagens, destacam-se [8].

·         Interoperabilidade com clientes que utilizam outros protocolos como WPA e WEP em um mesmo ambiente de rede;

·         Oferece dois modelos de operação: Enterprise e Personal;

·         Possui um Vetor de inicialização de 48 bits;

·         O AES (Advanced Encryption System) é o mais poderoso algoritmo de encriptação simétrica disponível hoje.

A Figura 3 mostra o esquema do WPA2.

Figura 3 - Esquema de funcionamento do protocolo WPA2 Fonte: [8]

Segundo [2], a principal desvantagem do WPA2 esta no fato de que nem todos os roteadores ou Access Points podem utilizá-lo, como por exemplo equipamentos mais antigos. Além disso, os pacotes encriptados utilizando o protocolo WPA2 são mais pesados do que os do WPA, podendo apresentar problemas em transmissões de longo alcançe [2].

V.         Aplicabilidade

A aplicação dos protocolos de segurança devem estar diretamente relacionados com a necessidade da rede sem fio especificada, ou seja, dependendo do tipo de serviço oferecido, é mais vantajoso oferecer um protocolo que não comprometa o tráfego na rede. A Tabela 1 mostra um comparativo entre os três protocolos.

	WEP	WPA	WPA2
Algoritmo de Criptografia	RC4	RC4	AES
Padrão de Autenticação	Não possui	Padrão IEEE 802.1X / EAP / PSK	Padrão IEEE 802.1X / EAP / PSK
Tamanho da Chave (Em Bits)	Entre 40 até 104 bits	Padrão de 128 bits	Entre 128 e 256 bits
Método de Encriptação	WEP	TKIP	CCMP
Detecção de Integridade de Dados	Função CRC32	Função MIC	Função CCM
Opção de Chaves Para Pacotes	Não possui	Possui	Possui
Tamanho do Vetor de Inicialização	24 bits	48 bits	48 bits

Tabela 1 - Comparativo técnico entre os protocolos. Adaptado de [8]

Ao implementar uma rede sem fio doméstica e que exija segurança, o WPA é a mais adequada, pois já se considera o WEP como inseguro, porém, mais rápido do que os seus sucessores devido o tamnho dos pacotes serem menores [4]. Em outras palavras, deve-se sempre balancear a utilização do protocolo entre disponibilidade de equipamento, velocidade e segurança. Já no caso de uma solução empresarial, o WPA2 é recomendado, devido ao alto nível de segurança [8].

Um exemplo de aplicabilidade de rede são as topologias demonstradas abaixo, onde na Figura 4, o protocolo WPA compatível com RADIUS é aplicado em ambientes com um número pequeno de dispositivos conectados. São aplicadas chaves secretas compartilhadas para cada uma das máquinas clientes.

Figura 4 - Topologia de uma rede com segurança WPA, onde cada dispositivo conectado a ela recebe automaticamente uma chave. Fonte [3]

Independente do tipo do aplicação que será usada, [1] afirma que algumas recomendações de segurança podem ajudar na construção de uma rede mais segura. São elas

·         Habilitar o uso do WPA ou WPA2 sempre que possível.

·         Caso não for possível utilizar WPA ou WPA2 utilizar WEP. Mesmo com suas falhas de seguranças, o WEP pode prevenir ataques mais casuais como Eavesdropping.

·         No caso do WPA, preferir sempre autenticação por chave compartilha (PSK) do que autenticação aberta (OSA).

·         Utilizar o mecanismo de troca dinâmica de chaves (TKIP).

·         Mudar o ESSID padrão do Access Point.

·         Utilizar filtragem por MAC Address caso o Access Point tenha suporte.

·         Utilizar autenticação por estação (usuário) com o IEEE 802.1x.

·         Utilizar algum mecanismo com criptografia para a gerência do Access Point, como SSH ou HTTPS, evitando que crackers sniffem a rede e capturem dados como a senha de seu Access Point.

VI.      Conclusão

Este trabalho mostrou diversos aspectos dos protocolos de segurança aplicados em redes sem fio. Obedecendo a proposta do trabalho, foram expostos as principais características técnicas dos protocolos WPA, WPA2 e WEP.

No final deste trabalho, foi mostrado as aplicabilidades de cada um dos protocolos além de uma topologia usando WPA compatível com RADIUS, que pode ser aplicado tanto em empresas quanto em redes domésticas.

VII.    Glossário

·         Força Bruta: Técnica onde é testada todas as possíveis combinações afim de buscar um resultado que satisfaça o problema;

·         DDoS: Acrônimo para Denial of Service (Negação de Serviço).

·         SSID: Identificador de rede sem fio.

Referencias

[1]     N. M. de O Rufino. Segurança em Redes sem Fio. 1. ed. São Paulo, SP: Novatec, 2005. 224 p. ISBN 85-7522-070-5.

[2]     M. S. Gast. 802.11 Wireless Networks. O’Reilly, 2002. 464 p. ISBN 0-596-00183-5.

[3]     E. D Moreno; F. D. Pereira; R. B. Chiaramonte .Criptografia em Software e Hardware. São Paulo: Novatec, 2005.

[4]     A. M. S. Filho. Sobre a Necessidade de Proteção de Sistemas de Informações. Disponível em: http://www.espacoacademico.com.br/042/42amsf.htm. Acessado em 12/03/11

[5]     Hacker Friendly LLC. Redes Sem Fio No Mundo em Desenvolvimento,2008, ISBN: 978-0-9778093-8-7

[6]     R. R. da S. Vilela; D. da S. Ribeiro. Segurança em Redes Wireless. Disponível em: www.sucesumt.org.br/mtdigital/anais/files/RedesWirelessWEP.pdf. Acessado em 12/03/11

[7]     UOL ComputerWorld, Disponível em: http://computerworld.uol.com.br/seguranca/2009/08/27/sistema-de-criptografia-wpa-tem-vulnerabilidade-grave/. Acessado em 11/03/11.

[8]     Scielo Homepage. Disponível em: http://www.scielo.unal.edu.co/scielo.php?pid=S0120-56092008000200012&script=sci_arttext. Acessado em 10/03/11