Segurança de Redes Aula 1 - Conceitos AGENDA Surgimento da preocupação com segurança da informação; Conceitos e princípios da Segurança da Informação; Segurança como parte dos negócios. 2 Lembre-se desta regra: Se um HACKER quiser invadir seu sistema, ele conseguirá! E não existe muito o que você possa fazer para impedir isso. A única coisa que você poderá fazer é tornar esta tarefa difícil para ele. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Notícias recentes que demonstram o quão frágil é a infraestrutura de segurança dos sites web governamentais. E os sites web das empresas privadas, estão seguros? INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO “O preço da liberdade é a eterna vigilância” (Thomas Jefferson) INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Estamos seguros na Internet? Qual o impacto se o site de uma empresa for “pichado”? INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Prejuízos causados pelos principais vírus. Fonte: Computer Economics e mi2g Ano Vírus Prejuízos (em milhões de dólares) 1999 2000 2001 2001 2001 2002 Melissa I Love You Nimda Code Red Sircam Klez 1,200 8,750 635 2,620 1,150 13,900 2003 2003 2003 2003 2004 2004 2004 2004 2008 Slammer / Sapphire Yaha Blast SoBig MyDoom NetSky Bagle Sasser Conficker 1,200 6,300 525 14,600 89,600 43,800 5,300 18,100 9,100 INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Spams reportados INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Incidentes reportados [email protected] INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Realidade da segurança nos órgãos do governo. E nas empresas privadas, será que estes números são muito diferentes? Esperar um incidente para se proteger?!? INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Os 10 HACKERS mais famosos Fonte: terra.com.br 1º. Kevin Mitnick. Um dos mais famosos hackers de todos os tempos, Foi o primeiro hacker a entrar para a lista dos 10 criminosos mais procurados pelo FBI. 2º. Adrian Lamo. Na lista de invasões do jovem hacker americano estão os sites da Microsoft, do Yahoo! e do jornal The New York Times. 3º. Raphael Gray. O hacker britânico Raphael Gray, 19 anos, foi condenado por roubar 23 mil números de cartões de crédito, entre eles um de Bill Gates. 4º Jonathan James. Preso aos 16 anos, o hacker invadiu uma das agências Departamento de Defesa americano. 5º. Jon Lech Johansen. Conhecido como DVD Jon, o hacker norueguês ganhou fama após burlar os sistemas de proteção dos DVDs comerciais. 6º. Vladimir Levin. O criminoso russo liderou uma gangue que invadiu computadores do Citibank e desviou US$ 10 milhões, em 1994. 7º. Onel de Guzman. Com apenas 23 anos, o filipino Onel de Guzman causou um prejuízo de US$ 10 bilhões com seu vírus “I Love You”, que atingiu sistemas de e-mail no mundo todo. 8º. Kevin Poulsen. Ganhou um Porsche num concurso realizado por uma rádio americana. O 102º ouvinte que telefonasse para a emissora, levava o carro. Poulsen invadiu a central. 9º. Robert Morris. O americano, filho do cientista chefe do Centro Nacional de Segurança Computacional dos EUA, espalhou o primeiro worm que infectou milhões de computadores e fez grande parte da Internet entrar em colapso, em 1988. 10º. David L. Smith. Com o vírus Melissa, o programador conseguiu derrubar servidores de grandes empresas, como Intel e Microsoft. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Mas nós estamos do lado da LEI!! INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO A segurança deve ser considerada não apenas uma proteção, mas o elemento habilitador dos negócios da organização. Pesquisas indicam que os consumidores deixam de realizar negócios via internet quando não confiam na segurança de um site. [IDG Now] A segurança apareceu em uma pesquisa como o principal fator de consumidores não realizarem compras pela internet. [INFO Online] INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Fatores que justificam a preocupação com a segurança contínua: a) Entender a natureza dos ataques é fundamental; b) Novas tecnologias trazem consigo novas vulnerabilidades; c) Novas formas de ataques são criadas; d) Aumento da conectividade resulta em novas possibilidades de ataques; e) Existência tanto de ataques direcionados quanto de ataques oportunísticos; f) A defesa é mais complexa do que o ataque; g) Aumento dos crimes digitais. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Não é um fato isolado, mas um conjunto de fatores que acarreta o aumento das vulnerabilidades e a crescente preocupação com a proteção: A competitividade e a pressa no lançamento de novos produtos; O alto nível de conectividade; O aumento do número de potenciais atacantes; O avanço tecnológico, que resulta em novas vulnerabilidades intrínsicas; O aumento da interação entre organizações, resultando nos ambientes cooperativos; (ex: Multinacional adquirindo uma filial) A integração entre diferentes tecnologias, que multiplica as vulnerabilidades; (ex: WinZip e Windows) O aumento da complexidade dos ambientes, resultando do aumento de relacionamentos, da integração tecnológica e do aumento de serviços. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Segurança como parte dos negócios Foco principal era manter o sigilo dos dados 1970 Crescimento comercial do Surgimento dos ambientes de Internet Protocol (IP). Foco rede. A integridade passou a passa a ser também a ser de suma importância. disponibilidade. A Tecnologia Proteção focava a da Informação tornou-se informação, não os dados essencial aos negócios 1980 1990 Dados: conjunto de bits armazenados, como nomes, endereços, datas de nascimento, números de cartões de crédito ou históricos financeiros. Informação: quando um dado passa a ter um sentido, como as informações referentes a um cliente especial. Ou também o preço de um produto competitivo. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Histórico da Segurança da Informação • Nasceu como elemento de estratégia militar; • Amadureceu em entidades militares, governamentais e Acadêmicas; • Desde a década passada faz parte da estratégia corporativa. Principais Desafios • Definição das Funções e Responsabilidades; • Participação ativa nas estratégias organizacionais; • Integração com a missão da Organização. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO O que é Informação? “Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais“ (Marcos Sêmola) O que é Segurança? “[...] um estado e qualidade ou condição de seguro, assim também como convicção e certeza” (Dicionário Aurélio) CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Definições de Segurança da Informação Segurança da Informação é a proteção da informação de vários tipos de ameaças para a continuidade do negócio e também para minimizar o risco ao negócio. Segurança da Informação: área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou a sua indisponibilidade. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Conceitos de Segurança da Informação Di sp on ibi lid ad e INFORMAÇÃO Marcos Sêmola CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Princípios básicos da Segurança da Informação: Aspectos da Segurança da Informação: CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Ciclo de Vida da Informação CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Elementos CONCEITOS DE SEGURANÇA DA INFORMAÇÃO ATIVO: É tudo aquilo que possui valor para uma organização. Exemplo de classificação de ativos: CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Ameaças Agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Vulnerabilidade Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade e Disponibilidade. Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agente causador ou condição favorável, que são as ameaças. São as falhas que são exploradas pelas ameaças. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Vulnerabilidades x Ameaças Vulnerabilidades Ameaças Como peças que se encaixam, ameaças específicas exploram vulnerabilidades compatíveis CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Medidas de Segurança Preventivas: objetivam evitar que incidentes venham a ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. Ex.: políticas de segurança, instruções e procedimentos de trabalho, especificação de segurança, campanhas e palestras de conscientização de usuários; ferramentas para implementação da política de segurança (firewall, antivírus, configurações adequadas de roteadores e dos sistemas operacionais, etc). Detectáveis: visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades. Ex.: análise de riscos, sistemas de detecção de intrusão, alertas de segurança, câmeras de vigilância, alarmes, etc. Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos: equipes para emergências, restauração de backup, plano de continuidade operacional, plano de recuperação de desastres. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Barreiras de Segurança CRESCIMENTO DO IMPACTO DIAGNOSTICAR DETER DETECTAR DISCRIMINAR DIFICULTAR DESENCORAJAR AMEAÇAS NEGÓCIO ATIVOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Barreiras de Segurança Barreira 1: Desencorajar Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmera de vídeo, mesmo falsa, de um aviso da existência de alarmes, campanhas de divulgação da política de segurança ou treinamento dos funcionários informando as práticas de auditoria e monitoramento de acesso aos sistemas, já são efetivos nesta fase. Barreira 2: Dificultar O papel desta barreira é complementar a anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Como exemplo, podemos citar os dispositivos de autenticação para acesso físico, como roletas, detectores de metal e alarmes, ou lógicos, como leitores de cartão magnético, senhas, smartcards e certificados digitais, além da criptografia, firewall, etc. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Barreiras de Segurança Barreira 3: Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computadores e bancos de dados. Os processos de avaliação e gestão do volume de uso dos recursos, como email, impressora, ou até mesmo o fluxo de acesso físico aos ambientes, são bons exemplos das atividades desta barreira. Barreira 4: Detectar Mais uma vez agindo de forma complementar às suas antecessoras, esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem, e instrumentem os gestores da segurança na detecção de situações de risco. Seja em uma tentativa de invasão, uma possível contaminação por vírus, o descumprimento da política de segurança da empresa, ou a cópia e envio de informações sigilosas de forma inadequada. Entram aqui os sistemas de monitoramento e auditoria para auxiliar na identificação de atitudes de exposição, como o antivírus e o sistema de detecção de intrusos, que reduziram o tempo de resposta a incidentes. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Barreiras de Segurança Barreira 5: Deter Representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, respectivamente a ambientes e sistemas, são bons exemplos. Barreira 6: Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Pode parecer o fim, mas é o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a esses fatores esta é a barreira de maior importância. Deve ser conduzida por atividades de análise de riscos que considerem tanto os aspectos tecnológicos quanto os físicos e humanos, sempre orientados às características e às necessidades específicas dos processos de negócio de uma empresa. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Riscos: Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando possivelmente, impactos nos negócios. Probabilidade: Chances de uma ameaça explorar uma vulnerabilidade. Impacto: Abrangência dos danos causados por um incidente de segurança sobre um ou mais processo ou ativos de negócio. Risco = Probabilidade x Impacto Portanto: Segurança é uma prática voltada à eliminação de Vulnerabilidades para reduzir os Riscos de uma Ameaça se concretizar no ambiente que se quer proteger. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO EXPLORAM AMEAÇAS VULNERABILIDADES AUMENTAM PROTEGEM CONTRA AUMENTAM EXPÕEM AÇÕES DE SEGURANÇA DA INFORMAÇÃO DIMINUEM RISCOS AUMENTAM INFORMAÇÕES TÊM IMPLEMENTADAS COM INDICAM NECESSIDADES DE SEGURANÇA AUMENTAM VALORES (QUE CAUSAM POTENCIAIS IMPACTOS NOS NEGÓCIOS) Ciclo da Segurança da Informação – ISO/IEC 13335-1:1998 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Conforme (Stoneburner, 2001), a forma para descobrir se existe algum risco em um projeto e se o mesmo é aceitável, é apresentada na próxima figura: CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Nas últimas décadas começamos a entrar em uma era onde o que mandava era o bloqueio! Aos poucos nos tornamos caixas pretas interligadas à Internet. Privamos os usuários do acesso a diversos tipos de sites. Nossos serviços ficaram centralizados. E nos últimos anos estamos tendo que rever estes conceitos. Acessos às redes sociais, etc. As vantagens de disponibilizar nossos serviços nas Nuvens! CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Mitos sobre segurança Isso nunca acontecerá conosco; Nunca fomos atacados, não precisamos de mais segurança; Já estamos seguros com um firewall; Utilizamos os melhores sistemas, então, eles devem ser seguros; Não dá para gastar com segurança agora, deixa assim mesmo; Utilizamos as últimas versões dos sistemas dos melhores fabricantes; Nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada; Ninguém vai descobrir essa brecha em nossa segurança; Tomamos todas as precauções, de modo que os testes não são necessários; Vamos deixar funcionando e depois resolveremos os problemas de segurança; Os problemas de segurança são de responsabilidade do departamento de TI; Está tudo seguro, eu mesmo escolho as senhas de meus funcionários; O nosso parceiro é confiável, podemos liberar o acesso para ele. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Exercício: Quantas falhas de segurança você é capaz de encontrar? INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO 1. Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de informação, saber: Com quem fala, de onde fala, conferir se possível se o telefone de onde se origina o número esteja batendo com o mencionado (via bina por exemplo) e por que, quer aquela informação; 2. Fatores externos (Visitantes) ter acesso à área interna na empresa, obtendo contato à informações confidenciais; 3. Entrega de informações sem o devido conhecimento real de quem esta levando essa informação; 4. Entrada de pessoas não autorizadas ou sem identificação de quem se trata, com portas abertas e expostas a entrada de qualquer um; 5. Recebimento de informações digitais (disquete, cd etc..) sem o prévio conhecimento da procedência de onde realmente vem, de quem vem e do que se trata, sem fazer primeiramente uma inspeção do material recebido em algum lugar ou equipamento que não comprometa a empresa ou organização; 6. Descarte incorreto de material que se acha inútil depois de jogado no lixo. O não picotamento em diversos pedaços e de preferência em diversos lixos; 7. Cabos e fios que interligam os computadores soltos no meio da sala, sem a devida organização de estar atrás do micro salvaguardados de qualquer tropeço ou acidente; 8. Gavetas abertas, de fácil acesso a documentos; INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO 1. Jogos via internet ou mesmo por disquetes ou CD-ROM são passíveis de conter armadilhas, como ativação de worms, cavalos de tróia , vírus dentre outros perigos que se escondem por traz dos envolventes jogos, ou diversões oferecidas; 2. Deixar exposto arquivos de backup, não guardando em lugar seguro e confiável. Além de demonstrar explicitamente que é um backup. Como do absurdo de colocar em risco a perda de todo backup sem os devidos cuidados necessários a segurança física, em caso de algum acidente como uma xícara de café cair em cima do material de backup; 3. Nome de usuário e senhas expostos para qualquer um que passar, ver e ter acesso; 4. Disquetes, Cds, documentos, material particular como bolsas, carteiras em cima da mesa ou expostos, com grande facilidade de alguém se apoderar ou ter acesso, principalmente se as portas ou janelas ficam sempre abertas; 5. Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se trabalha, quanto mais se neste lugar têm-se carpetes! ; 6. Programas, documentos digitais gravados em disquete ou Cds, não sendo devidamente guardados em lugares seguros onde somente aqueles que podem ter realmente acesso seriam portadores da informação; 7. Materiais eletro-eletrônicos, perto das máquinas de trabalho; 8. Cabos de energia soltos, comprometendo a segurança física dos funcionários; INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO 1. Computador ligado demonstrando informações confidenciais como senha, usuário, códigos fontes; 2. Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa; 3. Computador ligado e, sobretudo logado com a senha e nome de algum usuário esquecidinho, deixando a mercê o uso da máquina por alguém não autorizado; 4. Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgência ou emergência; 5. Material (softwares de aplicativos) exposto sem estar guardado em lugar seguro. Bem como livros, apostilas etc, que contenham informações que sirva como um facilitador em trazer palavras de cunho técnico de modo à “achar” id, passwords, sejam elas default ou não; 6. Enfeites, como vasos, quadros dentre outros, servindo como mera distração, fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho, quando surgem, podem ser alvo de suspeita, pois de traz desses “enfeites” , podem estar guardados, escondidos ou implantados sistemas de escuta, gravadores dentre outros pequenos sistemas que podem colher informações ditas ou vivenciadas naquele ambiente. (paranóias e neuroses à parte todo cuidado é pouco!); INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO CURIOSIDADE!! Tempo Implementação Controle Controle mal implementado = Menor tempo gasto – Produtividade Menor Controle bem implementado = Mais tempo gasto – Produtividade praticamente igual Produtividade do usuário final afetada: Gasta tempo da sua produtividade já comprometida tentando encontrar uma maneira de burlar a segurança. Após o usuário conseguir você continua sem segurança! INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Bibliografia • NAKAMURA, Emilio; GEUS, Paulo. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2010. • PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. • SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. 14ª ed. Campus Elsevier, 2011