Segurança da Informação (Parte I) Prof. Walter Cunha Rede LFG Prof. Walter Cunha Currículo: • ATRFB - Tecnologia da Informação • Pós-Graduado em GP – FGV • Graduado em Eletrônica – ITA • Concurseiro nas horas “vagas” Prof. Walter Cunha Contatos: • E-mail: – [email protected] – [email protected] • Atividades: –http://www.waltercunha.com/blog/ –http://twitter.com/TIMasters/ Escopo • Abordar os tópicos de informática mais cobrados pelas principais bancas. • Familiarizar o concursando com os tipos de questões mais frequentes. • Indicar fontes de material e métodos de aprendizado complementares Não-Escopo • Ser um curso predominantemente de resolução de exercícios • Escovar Bits (Necessário à PF!) • Ensinar procedimentos específicos de invasão Carga Horária • 04 Encontros • 04 e 05/04; 30 e 31/05 • 20ha total Programa • A Informação • ConceitosChave • Ameaças • Ataques • Defesa • • • • Backup Autenticação Criptografia Soluções Populares • Normas Mundiais Bibliografia • Segurança de Redes em Ambientes Cooperativos Fundamentos, Técnicas, Tecnologias, Estratégias Nakamura http://www.submarino.com.br/produto/1/1974957?franq=271796 • Redes de Computadores - Andrew Tanenbaum 4ª Ed http://www.submarino.com.br/produto/1/56122?franq=271796 • Gestão da Segurança da Informação Uma Visão Executiva - Marcos Sêmola http://www.submarino.com.br/produto/1/189323?franq=271796 Bibliografia • Criptografia e Segurança de Redes - Stallings, William http://www.submarino.com.br/produto/1/21329443?franq=271796 • Boas Práticas em Segurança da Informação - Manual do TCU (2003) • • Cartilha de Segurança para Internet – CERT ABNT ISO/IEC 17799 e 27001 “Obrigações” dos Alunos • Revisar o material em casa • Não guardar dúvidas • Freqüentar o Blog • Convidar-me para o churrascão! Dicas Concurso Estudo Regular • O principal adversário é você • Existe o estudo “suficiente” (média) • É importante estar no nível da turma • É um caminho natural • Matéria definida Estudo para Concurso • Existe a concorrência • Existe o estudo máximo (possível). • O importante é a DIFERENCIAÇÃO • Você traça o caminho • Matéria não (totalmente) definida. Fatores Críticos (FCA) • Força Bruta – O quanto estudar • Estratégia – O que e como Estudar • Imponderável – Incontrolável • Vibração* Tipos de Concurseiros • Sólido – pessoas rígidas, inflexíveis. • Fluidas – Pessoas Maleáveis – Gasoso – Não tem tempo ruim. Parte I Segurança da Informação Prof. Walter Cunha A Informação Segurança da Informação Prof. Walter Cunha Informação Conjunto de dados utilizados para transferência de uma mensagem entre indivíduos ou máquinas em processo comunicativos ou transacionais. Importância da Informação A informação é considerada, atualmente, o ativo mais crítico, cujo comprometimento pode inviabilizar a continuidade da organização. Ciclo da Informação • • • • • Geração* Manuseio Transporte Armazenamento Descarte Sistema de Informação Qualquer sistema, automatizado ou mesmo manual, que abrange pessoas, máquinas, e/ou métodos organizados para coletar, processar, transmitir e disseminar dados que representam informação para o usuário. Atributos da Informação Confidencialidade: Limita o acesso à informação apenas às pessoas autorizadas. Sinônimos: Privacidade, Controle de Acesso. Atributos da Informação Integridade: Garante que as informações ou os recursos da informação estão protegidos contra modificações não autorizadas. Sinônimos: Fidelidade Atributos da Informação Disponibilidade: Possibilidade de acesso por aqueles que necessitam das informações para o desempenho de suas atividades Atributos da Informação Legalidade: Estado legal da informação, ou seja, em conformidade com os preceitos da legislação em vigor. Sinônimos: Conformidade Atributos da Informação Autenticidade (positiva): A autenticidade assegura que um remetente ou destinatário (usuário ou equipamento) de uma mensagem é quem ele realmente afirma que é. Atributos da Informação Irretratabilidade (negativa): Encarrega-se de suprimir a margem pela qual o executor da ação possa negar a sua autoria, ou pelo menos, não possa fugir a responsabilidade pelo ato. Sinônimos: Não-Repúdio Atributos da Informação Confiabilidade: Conjunto da Obra. Qto à Confidencialidade Informações Secretas: são aquelas que uma vez divulgadas podem colocar em risco o negócio da organização. Qto à Confidencialidade Informações Confidenciais: são aquelas que devem ser disseminadas somente para indivíduos previamente definidos. Qto à Confidencialidade Informações Privadas/Internas: Devem ser disseminadas somente dentro da empresa Qto à Confidencialidade Informações Públicas: podem ser divulgadas dentro e fora da empresa. Qto à Criticidade Crítica - necessita de proteção no que diz respeito a sua integridade e disponibilidade. Não Crítica - não requer esses cuidados. Qto à Prioridade Urgentes (U) providências – 2 dias para Urgentíssimo (UU) – 24 horas para providências Decreto nº 4.553 Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências, trata também sobre a classificação segundo o grau de sigilo. Decreto nº 4.553 Art. 5º Os dados ou informações sigilosos serão classificados em ultra-secretos, secretos, confidenciais e reservados, em razão do seu teor ou dos elementos intrínsecos Decreto nº 4.553 § 1º São passíveis de classificação como ultra-secretos, dentre outros, (...) cujo conhecimento não autorizado possa acarretar dano excepcionalmente grave à segurança da sociedade e do Estado Decreto nº 4.553 § 2º São passíveis de classificação como secretos, dentre outros, (...), cujo conhecimento nãoautorizado possa acarretar dano grave à segurança da sociedade e do Estado Decreto nº 4.553 § 3º São passíveis de classificação como confidenciais dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não-autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado Decreto nº 4.553 § 4º São passíveis de classificação como reservados dados ou informações cuja revelação não autorizada possa comprometer planos, operações ou objetivos neles. Matriz RACI Matriz RACI R - (responsible), para os papéis responsáveis pela execução das atividades. Matriz RACI A (accountable) para aqueles que prestam contas pela atividade, ou seja, que são responsáveis pelos resultados. Matriz RACI C (consulted) para os papéis que são consultados durante a execução. Matriz RACI I (informed) para aqueles que recebem informações sobre os resultados alcançados. Importante! A banalização torna a classificação das informações sem efeito e cara. Conceitos-Chave Segurança da Informação Prof. Walter Cunha Frases que se ouvem • • • • “Isso não vai acontecer conosco” “Já temos um firewall” “Utilizamos os melhores sistemas” “Ninguém vai descobrir isso aí” • “Testar para funcionando?” que, se está tudo Frases que se ouvem • “Ninguém está interessado em nós” • “Dia 30 de Fevereiro a gente resolve isso, sem falta!”. • “Qualquer coisa, nós temos o backup”. • “Segurança é com a TI” Top of Mind... • Relaaaaaxa! Segurança da Informação Proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. (ISO/IEC 17799:2000) Os Porquês da SegInf • Entender a natureza dos ataques é fundamental • Novas tecnologias trazem consigo novas vulnerabilidades • Os ataques estão constante evolução • Aumento da conectividade resulta em novas possibilidades de ataques • A defesa é mais complexa que o ataque. Requisitos de SegInf • Análise/avaliação de riscos para a organização • Legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais • Conjunto particular de princípios, objetivos e requisitos do negócio Ativos Todo elemento que compõe os processos que manipulam e processam a informação, a contar da própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. Tipos de Ativos • • • • • • Equipamentos Aplicações Usuários Ambientes Informações Processos Vulnerabilidade Falha no projeto, implementação ou configuração de um sistema (de informação) que, quando explorada por um atacante, resulta na violação da sua segurança. Vulnerabilidade • • • • Tradicionais: Descaso da Administração com os aspectos de segurança Falta de uma PSI ou PSI abandonada Dispersão e conflito de esforços Compartilhamento de Senhas/Senhas Fracas* Vulnerabilidade • • • • • Tradicionais: Falta de segurança de ambiente Soluções frágeis e manjadas Configurações incorretas/default Desatualização (Software, Hardware e Pessoal) Falta de cultura e de um ambiente de teste e simulação. Vulnerabilidade • • • • Tradicionais: Problemas de Estrutura (elétrica, vazamentos, poeira, etc) Falta de programas de conscientização (cartilhas, palestras, teatro, etc). Falta de um inventário de ativos confiável Ausência de um processo disciplinar formal Vulnerabilidade • • • • • • • Novas: Modems 3G Smartphones Redes Sociais (Orkut, Blogs, etc) WEB 2.0 – All over http Computação em núvem/Virtualização Terceirização SOA Ameaça Causa potencial de um incidente indesejado, que, caso se concretize, pode resultar em dano. Risco Perigo, probabilidade possibilidade de ocorrência dano. R = Probalidade x Impacto ou de Importante! Diferente do PMBoK, na Segurança da Informação o risco está sempre atrelada a coisas ruins que podem acontecer. Risco Fatores de Risco: • A competitividade e a pressa no lançamento de novos produtos • O alto nível de conectividade • O aumento do número potenciais atacantes • O avanço tecnológico, que resulta em novas vulnerabilidades intrínsecas. Risco Fatores de Risco: • O aumento da interação entre organizações, resultando nos ambientes corporativos. • A integração entre diferentes tecnologias, que multiplica as vulnerabilidades. • A Era da Informação, na qual o conhecimento é o maior valor. • A segurança representando a habilitação para o negócio. Risco Tratamento: • Evitar - Desviar • Aceitar – (Não) Pagar pra ver • Transferir (Seguro) – Nunca é total • Mitigar – A mitigação de riscos exige a redução da probabilidade e/ou impacto de um evento de risco adverso até um limite aceitável. Importante! Quem vai definir o orçamento investido em segurança é justamente o binômio: recursos disponibilizados x tolerância ao risco. Ataque O ato de tentar desviar dos controles de segurança de um sistema. Um ataque pode ser ativo, tendo por resultado a alteração dos dados; ou passivo, tendo por resultado a liberação dos dados. O nível de sucesso depende da vulnerabilidade do sistema ou da atividade e da eficácia de contramedidas existentes. Importante! O fato de um ataque estar acontecendo não significa necessariamente que ele terá sucesso ou que você foi invadido. Evento Acontecimento; noção de fato, ação ou processo; ponto no espaço-tempo provido de quatro dimensões; realização de possível alternativa de um fenômeno probabilístico. Incidente Fato (evento) anômalo, por exemplo, decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades. Dano/Impacto Ofensa material ou moral causada por alguém a outrem, detentor de um bem juridicamente protegido. Estrago, deterioração, danificação, lesão, enfim, o famoso “preju”. Desastre Ocorrência de qualquer evento que cause interrupção significante nas facilidades. Pode ser natural (“de força maior”) ou causado pelo homem (fortuito ou não). Ameaças Segurança da Informação Prof. Walter Cunha Tipos de Ameaças • Naturais • Humanas • De Sistemas – E-mail – WEB – Malwares Ameaças Naturais • • • • Ameaças decorrentes de fatores da natureza. Enchentes Furacões Terremotos Tempestade eletromagnética Importante! Negligêcia, imprudência e imperícia NÃO devem ser consideradas desastres naturais. Ameaças Humanas Hackers Um hacker é um expert ou Problem Solver, aquele que apresenta soluções para problemas técnicos. São, geralmente, autodidatas. Importante! “Hackear” é explorar, entender, testar os limites, encontrar problemas e/ou novas funcionalidades. Não necessariamente invadir. Hackers Tipos: • White Hats • Black Hats • Gray Hats Crackers Tal como os Hackers, um Cracker é alguém que possui conhecimentos avançados de informática, mas usa esses conhecimentos para destruir os se aproveitar de sistemas e arquivos alheios. Phreaker É o chamado cracker da eletrônica e telecomunicações, arranja maneiras a fazer chamadas de graça. Script Kiddies Termo depreciativo atribuído aos grupos de crackers inexperientes que desenvolvem atividades relacionadas com segurança da informação utilizando-se do trabalho intelectual dos verdadeiros especialistas técnicos. Insiders Usuários legítimos dos sistemas de informação. Funcionários insatisfeitos ou simplesmente desastrados. Ameaças de E-mail SPAM E-Mail não solicitado, geralmente de conotação publicitária ou obscena. SPIT– SPAM Over IP Telephony (VoIP) SPIM– SPAM over Instant Messeger; SPORK– SPAM over Orkut. Correntes Geralmente pede para que o usuário (destinatário) repasse a mensagem um determinado número de vezes ou, ainda, "para todos os amigos" ou "para todos que ama". Utilizada para coletar e-mail válidos para ataques de SPAM posteriores. Scamming Técnica que visa roubar senhas e números de contas de clientes bancários enviando um e-mail falso oferecendo um serviço (instituição financeira, governo, etc.) HOAX Boatos, histórias falsas propagas por e-mails. Ameaças da WEB Cookies São pequenos arquivos que são instalados em seu computador durante a navegação, permitindo que os sites (servidores) obtenham determinadas informações. É isto que permite que a alguns sites o cumprimentem pelo nome, saibam quantas vezes você o visitou, etc. Phishing Site fraudulento que se passa pelo de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir usuários ao fornecimento de dados pessoais e financeiros. Pharming Ataque baseado que, consiste em corromper o DNS em uma rede de computadores, fazendo com que a URL de um site passe a apontar para o IP de um servidor diferente do original. Ferramentas e Técnicas Cracks Um crack é um pequeno software usado para quebrar um sistema de segurança qualquer. Sniffers Ferramenta constituída de um software ou hardware capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Exploit Programa que permite explorar falha de segurança de um sistema para ter acesso não autorizado. Scanners* Software que analisa o (software, computador, etc) em busca de possíveis vulnerabilidades. Wardriving O termo wardriving foi escolhido por Peter Shipley (http://www.dis.org/shipley/) para batizar a atividade de dirigir um automóvel à procura de redes sem fio abertas, passíveis de invasão. Warchalcking Prática de escrever em calçadas e paredes a giz (daí o nome, Guerra do Giz) o endereço de redes sem fio desprotegidas, abertas para o uso de terceiros. War Dialer Programa que varra números telefônicos em busca de modem ou aparelhos de fax, que são posteriormente utilizados como ponto de ataque. Easter Egg Uma mensagem, imagem ou som que o programador esconde em um software, como “brincadeira”. Figerprint/Footprint Rastrear e mapear as características do sistema alvo (S.O., por exemplo) e assim familiarizar-se com as vulnerabilidades conhecidas, facilitando e otimizando um ataque posterior. Este tipo de ataque pode ser feito de varias maneiras entre estas maneiras pode ser agressivo ou mais sutil. Trapdoors Mecanismos escondidos em softwares, são falhas de programação gerada pelo próprio Programador, para em um futuro, conseguir obter acesso e explorar o sistema. BotNets Redes formadas por diversos computadores infectados com bots. Podem ser usadas em atividades de negação de serviço, esquemas de fraude, envio de spam, etc. “Redes Zumbis” Malwares Malware O Termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Cavalo de Tróia Programa que vem com uma "surpresa" escondida intencionalmente pelo programador, mas inesperada para o usuário. Spyware Programa que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. Keyloggers Programas que enviam para hackers, tudo o que é digitado no teclado. Permitem roubar senhas, logins, números de conta corrente e cartões de crédito, endereços. Backdoors Pode ser instalado tanto presencialmente como remotamente, a distância. Sua função abrir portas de comunicação sem o conhecimento do usuário, para que através delas, o mesmo sofra uma invasão ou um ataque. Nota Foi provado que é possível decifrar a maior parte do que é digitado pela captação dos sons produzidos pela digitação no teclado. Vírus Programa capaz de se inserir em outros arquivos ou programas e usá-los para reproduzir-se, executar alguma tarefa e transmitir-se. Vírus de Boot Afetam o setor de boot do HD para serem carregados sempre que o Sistema Operacional for carregado. Vírus de Macro Afetam os programas da Microsoft que são baseados em VBA (Visual Basic for Applications), como os documentos do Microsoft Office (.DOC, .XLS) Vírus de Executável Afetam os arquivos executáveis, como os que têm extensão.EXE ou .COM Vírus Stealth Escondem-se do Antivírus (por exemplo, como BAD BLOCKS falhas no Disco). Vírus Polimórficos Mudam de “assinatura” (código) a cada infecção para dificultar a detecção. Worm Programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar. (Não é vírus) Ataques Ataque Ato de tentar danificar um sistema ou burlar as barreiras de segurança deste. Um ataque pode ser ativo, tendo por resultado a alteração dos dados; ou passivo, tendo por resultado a liberação dos dados. Denial Of Service Tentativa de tornar os recursos de um sistema indisponíveis para seus utilizadores. Não é um ataque específico, mas um tipo de ataque. Spoofing Consiste em falsificar algum atributo de identificação (spoof) do emissor. Ex: • IP Spoofing • MAC Spoofing Hijacking Consiste em tomar conta de uma ligação ou sessão existente, passando por cima da autenticação. Ping Flood Envio de uma seqüência de mensagens ICMP ao host alvo, que ocupa-se em responder a todas, consumindo desnecessariamente recursos. Pong Envio de mensagens ICMP a um número grande de hosts, normalmente endereçados em broadcast. Nas mensagens, o endereço de resposta informado é o endereço do alvo. Quando todos respondem, alvo recebe uma grande quantidade de mensagens ICMP simultaneamente. Smurf Amplia o número de hosts que enviarão mensagens ICMP ao alvo pelo envio da requisição falsa não apenas a um mas a vários endereços de broadcast. Fraggle O Fraggle é o “primo”do Smurf que utiliza pacotes UDP echo, em vez de pacotes ICMP echo. Ping da Morte Consiste em enviar um comando ping com um pacote de dados maior que o máximo permitido (64 KB). Isso causa o travamento ou a reinicialização da máquina atacada. SYN Flood Ataque de negação de serviço que consiste no envio de uma longa série de segmentos TCP SYN (pedidos de conexão) para um host, porém sem o envio de segmentos TCP ACK para confirmação do estabelecimento da conexão. Teardrop Bots enviam pedaços de um pacote legítimo; o sistema-vítima tenta recombinar os pedaços dentro de um pacote e, como resultado, é derrubado. LAND No ataque LAND o invasor emite pacotes de requisição de conexão com endereços IPs de origem e destino iguais é um dos mais conhecidos. Nuke É o tipo de ataque dos mais conhecidos. Ele funciona enviando pacotes ICMP para um alvo que contém um cabeçalho defeituoso para um alvo e, dessa forma, ele induz a máquina alvo a um erro de reconhecimento de host Buffer Overflow Ocorre quando o programa recebe mais dados do que está preparado para armazenar no buffer. Se o programa não foi adequadamente escrito, este excesso de dados pode acabar sendo armazenado em áreas de memória próximas, corrompendo dados ou travando o programa, ou mesmo ser executada, que é a possibilidade mais perigosa. SQL Injection Método utilizado para inserir, apagar, editar, entre várias outras funções SQL em ataques a banco de dados através de formulários do tipo texto e password, onde o atacante poderá inserir um usuário em sua tabela do banco de dados, dando-o permissão para acessar todo o sistema ou por exemplo, apagar todos os dados contidos nela. Parasitismo O invasor pode ter simplesmente o perverso objetivo de usar a sua rede como um ponto de acesso gratuito à Internet. Apesar de não ser tão prejudicial quanto algumas das outras ameaças, o parasitismo poderá, no mínimo, reduzir o nível de serviço disponível para seus usuários legítimos, além de introduzir vírus e outras ameaças. Engenharia Social Método de ataque onde uma pessoa faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Fim da Parte I