SegInf1 - WC - Walter Cunha

Propaganda
Segurança da
Informação (Parte I)
Prof. Walter Cunha
Rede LFG
Prof. Walter Cunha
Currículo:
• ATRFB - Tecnologia da Informação
• Pós-Graduado em GP – FGV
• Graduado em Eletrônica – ITA
• Concurseiro nas horas “vagas”
Prof. Walter Cunha
Contatos:
• E-mail:
– [email protected][email protected]
• Atividades:
–http://www.waltercunha.com/blog/
–http://twitter.com/TIMasters/
Escopo
• Abordar os tópicos de informática mais
cobrados pelas principais bancas.
• Familiarizar o concursando com os
tipos de questões mais frequentes.
• Indicar fontes de material e métodos de
aprendizado complementares
Não-Escopo
• Ser um curso predominantemente
de resolução de exercícios
• Escovar Bits (Necessário à PF!)
• Ensinar procedimentos específicos
de invasão
Carga Horária
• 04 Encontros
• 04 e 05/04; 30 e 31/05
• 20ha total
Programa
• A Informação
• ConceitosChave
• Ameaças
• Ataques
• Defesa
•
•
•
•
Backup
Autenticação
Criptografia
Soluções
Populares
• Normas Mundiais
Bibliografia
•
Segurança de Redes em Ambientes Cooperativos Fundamentos, Técnicas, Tecnologias, Estratégias Nakamura
http://www.submarino.com.br/produto/1/1974957?franq=271796
•
Redes de Computadores - Andrew Tanenbaum 4ª Ed
http://www.submarino.com.br/produto/1/56122?franq=271796
•
Gestão da Segurança da Informação Uma Visão
Executiva - Marcos Sêmola
http://www.submarino.com.br/produto/1/189323?franq=271796
Bibliografia
•
Criptografia e Segurança de Redes - Stallings,
William
http://www.submarino.com.br/produto/1/21329443?franq=271796
•
Boas Práticas em Segurança da Informação - Manual
do TCU (2003)
•
•
Cartilha de Segurança para Internet – CERT
ABNT ISO/IEC 17799 e 27001
“Obrigações” dos Alunos
• Revisar o material em casa
• Não guardar dúvidas
• Freqüentar o Blog
• Convidar-me para o churrascão!
Dicas Concurso
Estudo Regular
• O principal adversário é você
• Existe o estudo “suficiente” (média)
• É importante estar no nível da turma
• É um caminho natural
• Matéria definida
Estudo para Concurso
• Existe a concorrência
• Existe o estudo máximo (possível).
• O importante é a DIFERENCIAÇÃO
• Você traça o caminho
• Matéria não (totalmente) definida.
Fatores Críticos (FCA)
• Força Bruta – O quanto estudar
• Estratégia – O que e como Estudar
• Imponderável – Incontrolável
• Vibração*
Tipos de Concurseiros
• Sólido – pessoas rígidas,
inflexíveis.
• Fluidas – Pessoas Maleáveis
– Gasoso – Não tem tempo ruim.
Parte I
Segurança da Informação
Prof. Walter Cunha
A Informação
Segurança da Informação
Prof. Walter Cunha
Informação
Conjunto de dados utilizados para
transferência de uma mensagem
entre indivíduos ou máquinas em
processo
comunicativos
ou
transacionais.
Importância da Informação
A informação é considerada,
atualmente, o ativo mais crítico,
cujo
comprometimento
pode
inviabilizar a continuidade da
organização.
Ciclo da Informação
•
•
•
•
•
Geração*
Manuseio
Transporte
Armazenamento
Descarte
Sistema de Informação
Qualquer sistema, automatizado
ou mesmo manual, que abrange
pessoas, máquinas, e/ou métodos
organizados
para
coletar,
processar, transmitir e disseminar
dados
que
representam
informação para o usuário.
Atributos da Informação
Confidencialidade:
Limita
o
acesso à informação apenas às
pessoas autorizadas.
Sinônimos: Privacidade, Controle
de Acesso.
Atributos da Informação
Integridade: Garante
que
as
informações ou os recursos da
informação
estão
protegidos
contra
modificações
não
autorizadas.
Sinônimos: Fidelidade
Atributos da Informação
Disponibilidade: Possibilidade de
acesso
por
aqueles
que
necessitam das informações para
o desempenho de suas atividades
Atributos da Informação
Legalidade: Estado
legal
da
informação,
ou
seja,
em
conformidade com os preceitos da
legislação em vigor.
Sinônimos: Conformidade
Atributos da Informação
Autenticidade (positiva): A
autenticidade assegura que um
remetente ou destinatário (usuário
ou
equipamento)
de
uma
mensagem é quem ele realmente
afirma que é.
Atributos da Informação
Irretratabilidade (negativa):
Encarrega-se de suprimir a margem
pela qual o executor da ação possa
negar a sua autoria, ou pelo menos,
não possa fugir a responsabilidade
pelo ato.
Sinônimos: Não-Repúdio
Atributos da Informação
Confiabilidade:
Conjunto da Obra.
Qto à Confidencialidade
Informações
Secretas:
são
aquelas que uma vez divulgadas
podem colocar em risco o negócio
da organização.
Qto à Confidencialidade
Informações Confidenciais: são
aquelas
que
devem
ser
disseminadas
somente
para
indivíduos previamente definidos.
Qto à Confidencialidade
Informações
Privadas/Internas:
Devem ser disseminadas somente
dentro da empresa
Qto à Confidencialidade
Informações Públicas: podem ser
divulgadas dentro e fora da
empresa.
Qto à Criticidade
Crítica - necessita de proteção no
que diz respeito a sua integridade
e disponibilidade.
Não Crítica - não requer esses
cuidados.
Qto à Prioridade
Urgentes (U)
providências
–
2
dias
para
Urgentíssimo (UU) – 24 horas
para providências
Decreto nº 4.553
Dispõe sobre a salvaguarda de dados,
informações, documentos e materiais
sigilosos de interesse da segurança da
sociedade e do Estado, no âmbito da
Administração Pública Federal, e dá
outras providências, trata também
sobre a classificação segundo o grau
de sigilo.
Decreto nº 4.553
Art. 5º Os dados ou informações
sigilosos serão classificados em
ultra-secretos,
secretos,
confidenciais e reservados, em
razão do seu teor ou dos
elementos intrínsecos
Decreto nº 4.553
§ 1º São passíveis de classificação
como
ultra-secretos,
dentre
outros, (...) cujo conhecimento
não autorizado possa acarretar
dano excepcionalmente grave à
segurança da sociedade e do
Estado
Decreto nº 4.553
§ 2º São passíveis de classificação
como secretos, dentre outros,
(...), cujo conhecimento nãoautorizado possa acarretar dano
grave à segurança da sociedade e
do Estado
Decreto nº 4.553
§ 3º São passíveis de classificação
como
confidenciais
dados
ou
informações que, no interesse do
Poder Executivo e das partes, devam
ser de conhecimento restrito e cuja
revelação
não-autorizada
possa
frustrar seus objetivos ou acarretar
dano à segurança da sociedade e do
Estado
Decreto nº 4.553
§ 4º São passíveis de classificação
como
reservados
dados
ou
informações cuja revelação não
autorizada possa comprometer
planos, operações ou objetivos
neles.
Matriz RACI
Matriz RACI
R - (responsible), para os papéis
responsáveis pela execução das
atividades.
Matriz RACI
A (accountable) para aqueles que
prestam contas pela atividade, ou
seja, que são responsáveis pelos
resultados.
Matriz RACI
C (consulted) para os papéis que
são
consultados
durante
a
execução.
Matriz RACI
I (informed) para aqueles que
recebem informações sobre os
resultados alcançados.
Importante!
A banalização torna a classificação
das informações sem efeito e
cara.
Conceitos-Chave
Segurança da Informação
Prof. Walter Cunha
Frases que se ouvem
•
•
•
•
“Isso não vai acontecer conosco”
“Já temos um firewall”
“Utilizamos os melhores sistemas”
“Ninguém vai descobrir isso aí”
• “Testar para
funcionando?”
que,
se
está
tudo
Frases que se ouvem
• “Ninguém está interessado em nós”
• “Dia 30 de Fevereiro a gente resolve
isso, sem falta!”.
• “Qualquer coisa, nós temos o backup”.
• “Segurança é com a TI”
Top of Mind...
• Relaaaaaxa!
Segurança da Informação
Proteção contra um grande número de
ameaças às informações, de forma a
assegurar a continuidade do negócio,
minimizando danos comerciais e
maximizando
o
retorno
de
possibilidades
e
investimentos.
(ISO/IEC 17799:2000)
Os Porquês da SegInf
• Entender a natureza dos ataques é
fundamental
• Novas tecnologias trazem consigo novas
vulnerabilidades
• Os ataques estão constante evolução
• Aumento da conectividade resulta em
novas possibilidades de ataques
• A defesa é mais complexa que o ataque.
Requisitos de SegInf
• Análise/avaliação de riscos para a
organização
• Legislação vigente, os estatutos, a
regulamentação e as cláusulas
contratuais
• Conjunto particular de princípios,
objetivos e requisitos do negócio
Ativos
Todo elemento que compõe os
processos
que
manipulam
e
processam a informação, a contar
da própria informação, o meio em
que
ela é armazenada, os
equipamentos em que ela é
manuseada,
transportada
e
descartada.
Tipos de Ativos
•
•
•
•
•
•
Equipamentos
Aplicações
Usuários
Ambientes
Informações
Processos
Vulnerabilidade
Falha no projeto, implementação
ou configuração de um sistema
(de informação) que, quando
explorada
por
um
atacante,
resulta na violação da sua
segurança.
Vulnerabilidade
•
•
•
•
Tradicionais:
Descaso da Administração com os
aspectos de segurança
Falta de uma PSI ou PSI abandonada
Dispersão e conflito de esforços
Compartilhamento de Senhas/Senhas
Fracas*
Vulnerabilidade
•
•
•
•
•
Tradicionais:
Falta de segurança de ambiente
Soluções frágeis e manjadas
Configurações incorretas/default
Desatualização (Software, Hardware e
Pessoal)
Falta de cultura e de um ambiente de
teste e simulação.
Vulnerabilidade
•
•
•
•
Tradicionais:
Problemas de Estrutura (elétrica,
vazamentos, poeira, etc)
Falta de programas de conscientização
(cartilhas, palestras, teatro, etc).
Falta de um inventário de ativos
confiável
Ausência de um processo disciplinar
formal
Vulnerabilidade
•
•
•
•
•
•
•
Novas:
Modems 3G
Smartphones
Redes Sociais (Orkut, Blogs, etc)
WEB 2.0 – All over http
Computação em núvem/Virtualização
Terceirização
SOA
Ameaça
Causa potencial de um incidente
indesejado,
que,
caso
se
concretize, pode resultar em
dano.
Risco
Perigo,
probabilidade
possibilidade de ocorrência
dano.
R = Probalidade x Impacto
ou
de
Importante!
Diferente
do
PMBoK,
na
Segurança da Informação o risco
está sempre atrelada a coisas
ruins que podem acontecer.
Risco
Fatores de Risco:
• A competitividade e a pressa no
lançamento de novos produtos
• O alto nível de conectividade
• O aumento do número potenciais
atacantes
• O avanço tecnológico, que resulta em
novas vulnerabilidades intrínsecas.
Risco
Fatores de Risco:
• O
aumento
da
interação
entre
organizações, resultando nos ambientes
corporativos.
• A integração entre diferentes tecnologias,
que multiplica as vulnerabilidades.
• A Era da Informação, na qual o
conhecimento é o maior valor.
• A segurança representando a habilitação
para o negócio.
Risco
Tratamento:
• Evitar - Desviar
• Aceitar – (Não) Pagar pra ver
• Transferir (Seguro) – Nunca é total
• Mitigar
– A mitigação de riscos exige a redução da
probabilidade e/ou impacto de um evento
de risco adverso até um limite aceitável.
Importante!
Quem vai definir o orçamento
investido
em
segurança
é
justamente o binômio: recursos
disponibilizados x tolerância ao
risco.
Ataque
O ato de tentar desviar dos controles
de segurança de um sistema. Um
ataque pode ser ativo, tendo por
resultado a alteração dos dados; ou
passivo, tendo por resultado a
liberação dos dados. O nível de
sucesso depende da vulnerabilidade
do sistema ou da atividade e da
eficácia de contramedidas existentes.
Importante!
O fato de um ataque estar
acontecendo
não
significa
necessariamente que ele terá
sucesso ou que você foi invadido.
Evento
Acontecimento; noção de fato,
ação ou processo; ponto no
espaço-tempo provido de quatro
dimensões; realização de possível
alternativa de um fenômeno
probabilístico.
Incidente
Fato
(evento)
anômalo,
por
exemplo, decorrente da ação de
uma ameaça, que explora uma ou
mais vulnerabilidades.
Dano/Impacto
Ofensa material ou moral causada
por alguém a outrem, detentor de
um bem juridicamente protegido.
Estrago, deterioração, danificação,
lesão, enfim, o famoso “preju”.
Desastre
Ocorrência de qualquer evento
que cause interrupção significante
nas facilidades. Pode ser natural
(“de força maior”) ou causado pelo
homem (fortuito ou não).
Ameaças
Segurança da Informação
Prof. Walter Cunha
Tipos de Ameaças
• Naturais
• Humanas
• De Sistemas
– E-mail
– WEB
– Malwares
Ameaças Naturais
•
•
•
•
Ameaças decorrentes de fatores
da natureza.
Enchentes
Furacões
Terremotos
Tempestade eletromagnética
Importante!
Negligêcia,
imprudência
e
imperícia
NÃO
devem
ser
consideradas desastres naturais.
Ameaças Humanas
Hackers
Um hacker é um expert ou
Problem
Solver,
aquele
que
apresenta
soluções
para
problemas
técnicos.
São,
geralmente, autodidatas.
Importante!
“Hackear” é explorar, entender,
testar os limites, encontrar
problemas
e/ou
novas
funcionalidades.
Não
necessariamente invadir.
Hackers
Tipos:
• White Hats
• Black Hats
• Gray Hats
Crackers
Tal como os Hackers, um Cracker
é
alguém
que
possui
conhecimentos
avançados
de
informática,
mas
usa
esses
conhecimentos para destruir os se
aproveitar de sistemas e arquivos
alheios.
Phreaker
É o chamado cracker da eletrônica
e
telecomunicações,
arranja
maneiras a fazer chamadas de
graça.
Script Kiddies
Termo depreciativo atribuído aos
grupos de crackers inexperientes
que
desenvolvem
atividades
relacionadas com segurança da
informação
utilizando-se
do
trabalho
intelectual
dos
verdadeiros especialistas técnicos.
Insiders
Usuários legítimos dos sistemas
de
informação.
Funcionários
insatisfeitos
ou
simplesmente
desastrados.
Ameaças de E-mail
SPAM
E-Mail não solicitado, geralmente de
conotação publicitária ou obscena.
SPIT– SPAM Over IP Telephony (VoIP)
SPIM– SPAM over Instant Messeger;
SPORK– SPAM over Orkut.
Correntes
Geralmente pede para que o
usuário (destinatário) repasse a
mensagem
um
determinado
número de vezes ou, ainda, "para
todos os amigos" ou "para todos
que ama". Utilizada para coletar
e-mail válidos para ataques de
SPAM posteriores.
Scamming
Técnica que visa roubar senhas e
números de contas de clientes
bancários enviando um e-mail
falso oferecendo um serviço
(instituição financeira, governo,
etc.)
HOAX
Boatos, histórias falsas propagas
por e-mails.
Ameaças da WEB
Cookies
São pequenos arquivos que são
instalados
em
seu
computador
durante a navegação, permitindo que
os
sites
(servidores)
obtenham
determinadas informações. É isto que
permite que a alguns sites o
cumprimentem pelo nome, saibam
quantas vezes você o visitou, etc.
Phishing
Site fraudulento que se passa pelo
de uma instituição conhecida,
como um banco, empresa ou site
popular, e que procura induzir
usuários ao fornecimento de
dados pessoais e financeiros.
Pharming
Ataque baseado que, consiste em
corromper o DNS em uma rede de
computadores, fazendo com que a
URL de um site passe a apontar
para o IP de um servidor diferente
do original.
Ferramentas e
Técnicas
Cracks
Um crack é um pequeno software
usado para quebrar um sistema
de segurança qualquer.
Sniffers
Ferramenta constituída de um
software ou hardware capaz de
interceptar e registrar o tráfego de
dados
em
uma
rede
de
computadores.
Exploit
Programa que permite explorar
falha de segurança de um sistema
para ter acesso não autorizado.
Scanners*
Software que analisa o (software,
computador, etc) em busca de
possíveis vulnerabilidades.
Wardriving
O termo wardriving foi escolhido
por
Peter
Shipley
(http://www.dis.org/shipley/)
para
batizar a atividade de dirigir um
automóvel à procura de redes sem
fio abertas, passíveis de invasão.
Warchalcking
Prática de escrever em calçadas e
paredes a giz (daí o nome, Guerra
do Giz) o endereço de redes sem
fio desprotegidas, abertas para o
uso de terceiros.
War Dialer
Programa que varra números
telefônicos em busca de modem
ou aparelhos de fax, que são
posteriormente utilizados como
ponto de ataque.
Easter Egg
Uma mensagem, imagem ou som
que o programador esconde em
um software, como “brincadeira”.
Figerprint/Footprint
Rastrear e mapear as características
do sistema alvo (S.O., por exemplo) e
assim
familiarizar-se
com
as
vulnerabilidades
conhecidas,
facilitando e otimizando um ataque
posterior. Este tipo de ataque pode
ser feito de varias maneiras entre
estas maneiras pode ser agressivo ou
mais sutil.
Trapdoors
Mecanismos escondidos em softwares,
são falhas de programação gerada
pelo próprio Programador, para em
um futuro, conseguir obter acesso e
explorar o sistema.
BotNets
Redes
formadas
por
diversos
computadores infectados com bots.
Podem ser usadas em atividades de
negação de serviço, esquemas de
fraude,
envio
de
spam,
etc.
“Redes Zumbis”
Malwares
Malware
O Termo malware é proveniente
do inglês malicious software; é um
software destinado a se infiltrar
em um sistema de computador
alheio de forma ilícita, com o
intuito de causar algum dano ou
roubo
de
informações
(confidenciais ou não).
Cavalo de Tróia
Programa que vem com uma
"surpresa"
escondida
intencionalmente
pelo
programador,
mas
inesperada
para o usuário.
Spyware
Programa
que
recolhe
a
informação sobre um usuário do
computador e transmite então
esta informação a uma entidade
externa sem o conhecimento ou o
consentimento
informado
do
usuário.
Keyloggers
Programas que enviam para
hackers, tudo o que é digitado no
teclado. Permitem roubar senhas,
logins, números de conta corrente
e cartões de crédito, endereços.
Backdoors
Pode
ser
instalado
tanto
presencialmente
como
remotamente, a distância. Sua
função
abrir
portas
de
comunicação sem o conhecimento
do usuário, para que através
delas, o mesmo sofra uma
invasão ou um ataque.
Nota
Foi provado que é possível
decifrar a maior parte do que é
digitado pela captação dos sons
produzidos pela digitação no
teclado.
Vírus
Programa capaz de se inserir em
outros arquivos ou programas e
usá-los
para
reproduzir-se,
executar
alguma
tarefa
e
transmitir-se.
Vírus de Boot
Afetam o setor de boot do HD
para serem carregados sempre
que o Sistema Operacional for
carregado.
Vírus de Macro
Afetam os programas da Microsoft
que são baseados em VBA (Visual
Basic for Applications), como os
documentos do Microsoft Office
(.DOC, .XLS)
Vírus de Executável
Afetam os arquivos executáveis,
como os que têm extensão.EXE ou
.COM
Vírus Stealth
Escondem-se do Antivírus (por
exemplo, como BAD BLOCKS falhas no Disco).
Vírus Polimórficos
Mudam de “assinatura” (código) a
cada infecção para dificultar a
detecção.
Worm
Programa
auto-replicante,
semelhante a um vírus. O vírus
infecta um programa e necessita
deste programa hospedeiro para
se propagar, o worm é um
programa completo e não precisa
de outro programa para se
propagar. (Não é vírus)
Ataques
Ataque
Ato de tentar danificar um sistema
ou
burlar
as
barreiras
de
segurança deste. Um ataque pode
ser ativo, tendo por resultado a
alteração dos dados; ou passivo,
tendo por resultado a liberação
dos dados.
Denial Of Service
Tentativa de tornar os recursos de
um sistema indisponíveis para
seus utilizadores. Não é um
ataque específico, mas um tipo de
ataque.
Spoofing
Consiste em falsificar algum
atributo de identificação (spoof) do
emissor.
Ex:
• IP Spoofing
• MAC Spoofing
Hijacking
Consiste em tomar conta de uma
ligação ou sessão existente,
passando
por
cima
da
autenticação.
Ping Flood
Envio de uma seqüência de
mensagens ICMP ao host alvo,
que ocupa-se em responder a
todas,
consumindo
desnecessariamente recursos.
Pong
Envio de mensagens ICMP a um
número
grande
de
hosts,
normalmente
endereçados
em
broadcast.
Nas
mensagens,
o
endereço de resposta informado é o
endereço do alvo. Quando todos
respondem, alvo recebe uma grande
quantidade de mensagens ICMP
simultaneamente.
Smurf
Amplia o número de hosts que
enviarão mensagens ICMP ao alvo
pelo envio da requisição falsa não
apenas a um mas a vários
endereços de broadcast.
Fraggle
O Fraggle é o “primo”do Smurf
que utiliza pacotes UDP echo, em
vez de pacotes ICMP echo.
Ping da Morte
Consiste em enviar um comando
ping com um pacote de dados
maior que o máximo permitido
(64 KB). Isso causa o travamento
ou a reinicialização da máquina
atacada.
SYN Flood
Ataque de negação de serviço que
consiste no envio de uma longa
série de segmentos TCP SYN
(pedidos de conexão) para um
host, porém sem o envio de
segmentos
TCP
ACK
para
confirmação do estabelecimento
da conexão.
Teardrop
Bots enviam pedaços de um
pacote legítimo; o sistema-vítima
tenta recombinar os pedaços
dentro de um pacote e, como
resultado, é derrubado.
LAND
No ataque LAND o invasor emite
pacotes de requisição de conexão
com endereços IPs de origem e
destino iguais é um dos mais
conhecidos.
Nuke
É o tipo de ataque dos mais
conhecidos. Ele funciona enviando
pacotes ICMP para um alvo que
contém um cabeçalho defeituoso
para um alvo e, dessa forma, ele
induz a máquina alvo a um erro
de reconhecimento de host
Buffer Overflow
Ocorre quando o programa recebe mais
dados do que está preparado para
armazenar no buffer. Se o programa não
foi adequadamente escrito, este excesso
de dados pode acabar sendo armazenado
em
áreas
de
memória
próximas,
corrompendo dados ou travando o
programa, ou mesmo ser executada, que é
a
possibilidade
mais
perigosa.
SQL Injection
Método utilizado para inserir, apagar,
editar, entre várias outras funções SQL em
ataques a banco de dados através de
formulários do tipo texto e password, onde
o atacante poderá inserir um usuário em
sua tabela do banco de dados, dando-o
permissão para acessar todo o sistema ou
por exemplo, apagar todos os dados
contidos nela.
Parasitismo
O invasor pode ter simplesmente o
perverso objetivo de usar a sua rede como
um ponto de acesso gratuito à Internet.
Apesar de não ser tão prejudicial quanto
algumas
das
outras
ameaças,
o
parasitismo poderá, no mínimo, reduzir o
nível de serviço disponível para seus
usuários legítimos, além de introduzir vírus
e outras ameaças.
Engenharia Social
Método de ataque onde uma
pessoa faz uso da persuasão,
muitas
vezes
abusando
da
ingenuidade ou confiança do
usuário, para obter informações
que podem ser utilizadas para ter
acesso
não
autorizado
a
computadores ou informações.
Fim da Parte I
Download