Introdução a Segurança da Informação Conteúdo Programático Parte Parte Parte Parte Parte Parte 1: 2: 3: 4: 5: 6: A Informação Conceitos Por onde começar? Repositórios de Informação Genealogia de um Hacker Ameaças Digitais PARTE 1 A Informação Informação (Michaelis) do Lat. informatione s. f., Ato ou efeito de informar ou informar-se; Comunicação; Conjunto de conhecimentos sobre alguém ou alguma coisa; Conhecimentos obtidos por alguém; Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens; Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código. Propriedade (Michealis) do Lat. proprietate s. f., Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno; Bens, posses; Patrimônio físico(tangível) e imaterial(intangível). Consideração E quando o patrimônio é a informação? Considerações Segundo a Universidade da Califórnia em Berkeley(2005): Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB; Este número cresce em cerca de 700 mil páginas por dia. Velhos jargões “O segredo é a alma do negócio”; Novas tendências Mundo Globalizado, Ubiqüidade, Acesso a Informação. PARTE 2 Conceitos Axioma de Segurança “Uma corrente não é mais forte que o seu elo mais fraco” Segurança da Informação “A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bens), controlando o risco de revelação ou alteração por pessoas não autorizadas.” Política de Segurança Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação Ativos (Bens) Dados Serviços Número de Cartões de Crédito Planos de Marketing Códigos Fonte Informações de RH Web sites Acesso a Internet Controladores de Domínio ERP Comunicação Logins Transação Financeira Correio Eletrônico Definições Ameaça Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recurso; Vulnerabilidade Característica de fraqueza de um bem; Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa. Conceitos Básicos Risco A probabilidade da ocorrência de uma ameaça em particular A probabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso Ameaça, Vulnerabilidade e Risco Ameaça (evento) Vulnerabilidade (ponto falho) assalto a uma agência bancária liberação manual das portas giratórias pelos vigilantes Risco baixo, devido ao percentual de assaltos versus o universo de agências alto, se comparando as tentativas frustradas versus as bem sucedidas Conceitos Fundamentais Princípios da Segurança Confidencialidade Segurança Integridade Disponibilidade (Availability) CIA – Confidencialidade Propriedade de manter a informação a salvo de acesso e divulgação não autorizados; Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadas. CIA – Integridade Propriedade de manter a informação acurada, completa e atualizada Princípio de segurança da informação através do qual é garantida a autenticidade da informação O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico CIA – Disponibilidade (Availability) Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente Princípios Auxiliares Autenticação Identificação Sigilo Autorização Auditoria Controle de Acesso Vias -O que Sou -O que Sei -O que Tenho Controle de Acesso Suporta os princípios da CIA São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume. Em segurança, é suportado pela tríade AAA (definida na RFC 3127) Auditoria (Accountability) É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo; Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados. Autenticação Propriedade de confirmar a identidade de uma pessoa ou entidade. Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser Autorização São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso. Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema. Sigilo Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema; Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema. Identificação Meio pelo qual o usuário apresenta sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização. Mecanismos de Controle de Acesso PARTE 3 Onde Começar ? Leis Imutáveis da Segurança Ninguém acredita que nada de mal possa acontecer até que acontece; Segurança só funciona se a forma de se manter seguro for uma forma simples; Se você não realiza as correções de segurança, sua rede não será sua por muito tempo; Vigilância eterna é o preço da segurança; Segurança por Obscuridade, não é segurança; LOGs, se não auditá-los, melhor não tê-los. Leis Imutáveis da Segurança Existe realmente alguém tentando quebrar (adivinhar) sua senha; A rede mais segura é uma rede bem administrada; A dificuldade de defender uma rede é diretamente proporcional a sua complexidade; Segurança não se propõe a evitar os riscos, e sim gerenciá-los; Tecnologia não é tudo. By Scott Pulp – Security Program Manager at Microsoft Security Response Center Responsabilidades da Empresa “Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas” Corporate Politics on the Internet: Connection with Controversy, 1996 Segurança nas Organizações Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades: Tecnologia (hardware, software, redes) Processos (procedimentos, manuais) Pessoas (cultura, conhecimento) Estas entidades interagem das formas mais variadas e imprevisíveis A Segurança falhará se focar apenas em parte do problema Tecnologia não é nem o problema inteiro, nem a solução inteira Ciclo de Segurança Análise da Segurança (Risk Assessment) Definição e Atualização de Regras de Segurança (Política de Segurança) Implementação e Divulgação das Regras de Segurança (Implementação) Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes) Auditorias (Verificação do Cumprimento da Política) Domínios de Conhecimento “The International Information Systems Security Certification Consortium, Inc. [(ISC)²]” http://www.isc2.org A (ISC)2 define 10 domínios de conhecimento (CBK), para sua certificação introdutória CISSP Certified Information Systems Security Professional Common Body of Knowledge CBK – Common Body Of Knowledge Security Management Practices Access Control Systems Telecommunications and Network Security Cryptography Security Architecture and Models Operations Security Applications and Systems Development Business Continuity Planning and Disaster Recovery Planning Law, Investigation, and Ethics Physical Security Outras Certificações GIAC - Global Information Assurance Certification (Sans.Org) 3 Níveis de Expertise em 5 Áreas de Conhecimento Níveis Áreas de Conhecimento GIAC Silver GIAC Gold 2 ou mais testes Silver + Pesquisa e Publicação GIAC Platinum Gold em 2 ou mais AC’s + testes(3 dias) Administração de Segurança Gerência de Segurança Operações Legislação Auditoria Outras Certificações CompTIA – Security+ 5 Domínios de Conhecimento Communication Security Infrastructure Security Cryptography Operational Security General Security Concepts Outras Certificações MCSO – Módulo Certified Security Officer 2 Módulos compreendendo: Conceitos, Fundamentos de Segurança da Informação Organização de departamentos Gestão de pessoas Política de Segurança da Informação. Gestão Padrões e Aplicações de Tecnologias Windows/Unix Segurança em redes e telecomunicações Controle de acesso Arquitetura e modelos de segurança Criptografia Outros Recursos Academia Latino Americana de Segurança da Informação Parceria Módulo / Microsoft Composta por: Estágio Básico (4 módulos) Graduação Cada disciplina tem seu número de módulos Em 2006 foram oferecidos o Estágio Básico e a disciplina de ISO17799:2005 Ainda sem calendário e número de vagas para 2007 Necessário possuir usuário cadastrado no site do TechNet PARTE 4 Repositórios Sites Úteis http://www.insecure.org http://www.securityfocus.com http://www.sans.org http://www.digg.com http://techrepublic.com.com http://www.hackaday.com http://slashdot.org http://www.modulo.com.br http://www.invasao.com.br RSS e PodCasts Agregadores: Itunes Democracy Player FireAnt Plugins do IE e Firefox Mídias Áudio mp3/mp4/aac Vídeo DivX/A3C/Streaming Alguns PodCasts Security Now! 2600 - Off The Hook http://www.sploitcast.com TWiT – This Week in Tech http://www.2600.com/offthehook SploitCast http://www.grc.com/securitynow.htm http://www.twit.tv/TWiT Extreme Tech http://www.extremetech.com Video PodCasts HAK.5 Local Area Security http://irongeek.com Hacking Illustrated Revision3 http://www.localareasecurity.com IronGeek http://www.hak5.org http://www.revision3.com Digital Life Television (DL Tv) http://dl.tv Congressos e Eventos HOPE – Hacker on Planet Earth DEFCon http://www.blackhat.com – Archives H2HC – Hackers 2 Hackers Conference http://www.defcon.org – Archives BlackHat http://www.hopenumbersix.net http://www.h2hc.org.br CCC.de – Chaos Computer Club http://www.ccc.de Filmes Jogos de Guerra (WarGames) Quebra de Sigilo (Sneakers) 1995, Keanu Reeves 2001, John Travolta A Rede (The Net) 1995, Sandra Bullock 1999, vários A Batalha do Atlântico (U571) 2000, Russell Wong Piratas do Vale do Silício (Pirates of Silicon Valley) 1999, Keanu Reeves Caçada Virtual (Takedown) 2001, Ryan Phillippe Matrix (The Matrix) A Senha (Swordfish) Ameaça Virtual (Antitrust) 1995, Angelina Jolie O Cyborg do Futuro (Johnny Mnemonic) 1992, Robert Redford Piratas de Computador (Hackers) 1983, vários 2000, Matthew McConaughey O Caçador de Andróides (Blade Runner) 1982, Harrison Ford Listas de Discussão CISSPBr Yahoo Groups BugTraq Modulo Newsletter Outras Fontes • The Hacker News Network PARTE 5 Genealogia de um Hacker Hacker “Unauthorized user who attempts to or gains access to an information system.” “A person who illegally gains access to your computer system.” www.infosec.gov.hk/english/general/glossary_gj.htm “A person who illegally gains access to and sometimes tampers with information in a computer system.” www.tecrime.com/0gloss.htm http://www.webster.com/dictionary/hacker “A person who accesses computer files without authorization, often destroying vast amounts of data.” www.boydslaw.co.uk/glossary/gloss_itip.html Linha do Tempo: ‘Hacker’ - Novas técnicas, antigos padrões - Phreaker = Julgamento -Legislação: Freak, Phone, doFree primeiro hacker por invasão constante do - Negação de Serviço, novos víros em arquivos de dados (mp3, - Surgiu DoD porapós diversos a substituição anos, Pat Riddle das telefonistas AKA Captain por sistemas ZAP telefonicos jpeg,…) -gerenciados Apenas acessar por computador já não era suficiente, distribuição de rpogramas e - Nasce a consciência comum de Segurança da Informação - Lendae do jogos, o aparecimento garoto cego que de individuos conseguiu que assoviar não mais um tom respeitavam de 2600 Hz os - Corporações reconhecem a necessidade por segurança Proliferação enquantodeconversava códigos ética com sua Combate tia a Surgimento - A mídia perpetua o Hacker como uma ameaça dos PCs - Os Fatoverdadeiros Captain Crunch hackers e ocomeçam apito da caixa aHacker se distanciar de cereaisdos queque gerava agra ose ameaça da BELL TC - Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers mesmo conhece ton como de 2600 ‘Crackers’ Hz 1980-1985 1878-1969 - Surgem Anos 90 os termos ‘White Hat’ e ‘Black Hat’ - Surgem Steeve Jobs os primeiros + Steve Wozniak Virus e Worms + Altair8000 = 1o. BlueBox (Berkley) Anos- 70 Primeira geração1985-1990 de- Kevin Hackers de Computadores; Mitnick 2000+ Primeiros - Estudantes doRoubos, MIT anos 60; -A-nos Evolução da cultura Hacker surge comhoje o na Bugs e Em resposta as diversas prisões anunciadas Hackining: - Capacidade de alterar programas em Phreakers aparecimento do('hacks') PC Federais mídia, o termo ‘Hacker’ passaeano ter futuro uma conotação mainframes para melhorar programas. - Filme War Games pejorativa - Neste caso 'Hacker' conotação positiva. - Surgimento da 2600: Hacker Quaterly - tinha Surgeuma o filme Hackers - Indicava pessoas -capazes levar programas alémaquilo que possa lhe Acessardecomputadores, e tudo de sua capacidade original. ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo. Trilha Evolutiva White Hat Black Hat Hacker Cracker Script Kid Lammer Geek Nerd Usuário População por segmento White e Black Hats Hackers e Crackers Script Kidies e Lammers Geeks e Nerds Usuários, Curiosos e Iniciantes PARTE 6 Ameaças Digitais Ataques Geralmente divididos nos seguintes tipos: Ataques Ativos Pesquisa de vulnerabilidade, sniffing, ... Ataques de Senha DoS, DDoS, buffer overflow, inundação de SYN Ataques Passívos Pelo alvo geral do ataque (aplicações, redes ou misto) Se o ataque é ativo ou passivo Pelo mecanismo de ataque (quebra de senha, exploração de código, ...) Força bruta, Dicionário, “hackish”, Rainbow Tables Código malicioso (malware) Vírus, trojans, worms, ... Ataques Ativos DoS/DDoS Reduzir a qualidade de serviço a níveis intoleráveis Tanto mais difícil quanto maior for a infraestrutura do alvo Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado “Zombies” e Mestres (Masters), ataque smurf BOTs e BOTNets, ataques “massificados” por banda larga Tipos Consumo de Recursos (largura de banda, cpu, RAM, ...) Pacotes malformados (todas as flags ligadas) Ataques Ativos (cont.) Buffer Overflow Ataques SYN Sobrescrever o próprio código em execução “Shell code”, escrito em assembler Tem como objetivo executar algum código, ou conseguir acesso privilegiado Fragilidade nativa do TCP/IP Conexão de 3-vias (Syn, Syn-Ack, Ack) Spoofing Se fazer passar por outro ativo da rede MITM (Man-In-The-Middle) Dsniff Ataques Ativos (Cont.) Lixeiros Documentos sensíveis mal descartados Informações em hardwares obsoletos Falta de Política de Classificação da Informação Engenharia social Kevin Mitnick Normalmente relevada nos esquemas de segurança Utiliza-se do orgulho e necessidade de autoreconhecimento, intrínseco do ser humano “Um computador não estará seguro nem quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído a ligá-lo.” [ Kevin Mitnick – A arte de enganar/The Art of Deception ] Ataques ativos por código malicioso Malware MALicious softWARE Não apenas Spyware ou Adware “Payload” Vs Vetor Vírus Auto replicante Interfere com hardware, sistemas operacionais e aplicações Desenvolvidos para se replicar e iludir detecção Precisa ser executado para ser ativado Ataques ativos por código malicioso (cont) Cavalos de Tróia (Trojans) Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo) Fica dormente até ser ativado Muito comum em programas de gerência remota (BO e NetBus) Não se auto replica e precisa ser executado Bombas Lógicas Caindo em desuso pela utilização de segurança no desenvolvimento Aguarda uma condição ser atingída Chernobyl, como exemplo famoso (26, Abril) Ataques ativos por código malicioso (cont) Worms Auto replicante, mas sem alteração de arquivos Praticamente imperceptíveis até que todo o recurso disponível seja consumido Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede Não necessita de ponto de execução Se multiplica em proporção geométrica Exemplos famosos: LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ... Ataques ativos por código malicioso (cont) Back Door Trojan, root kits e programas legítmos VNC, PCAnyware, DameWare SubSeven, Th0rnkit Provê acesso não autenticado a um sistema Rootkit Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção Iniciam no boot junto com os processos do sistema Ataques Passívos Normalmente utilizado antes de um ataque ativo Pesquisa de Vulnerabilidades Pesquisa por Portas/Serviços http://www.insecure.org – Nmap Escuta (sniffing) Extremamente difícil detecção Não provoca ruído sensível Senhas em texto claro, comunicações não encriptadas Redes compartilhadas Vs comutadas Switch Vs Hub WireShark (Lin/Win), TCPDump (Lin) http://www.wireshark.org http://www.tcpdump.org Ataques Passívos (cont) Ataques de Senha Muito comuns pela facilidade de execução e taxa de sucesso Compara Hash’s, não texto Força Bruta Teste de todos os caracteres possíveis Taxa de 5 a 6 Milhões de testes/seg, em um P4 Ataques de Dicionário Reduz sensivelmente o tempo de quebra Já testa modificado para estilo “hackish” Cain&Abel, LC5, John The Ripper, ... B4n4n4, C@73dr@l, P1p0c@, R007, ... Rainbow Tables Princípio Time Memory Trade-off (TMTO) • Vírus http://www.youtube.com/watch?v=V6DmmYmCb8&feature=fvsr •Problemas de Imagem •http://www.youtube.com/watch?v=QQ7DJRr3zZI&fe ature=related •Sala Cofre http://www.youtube.com/watch?v=rL43T5GgY20&pla ynext=1&list=PL07A68171110E5C54 •Sala Cofre – Matrix http://www.youtube.com/watch?v=eW__mCgnLic&fe ature=related