Introdução
“A arte da guerra nos ensina a não contar com a possibilidade do inimigo não vir, e sim, estar
preparado para ele; não depender do inimigo não atacar, mas depender principalmente de estar em uma
posição invulnerável”
A Arte da Guerra, Sun Tzu
Pensamento“O único sistema verdadeiramente seguro é aquele que está desligado, desconectado, trancado num cofre de titânio, lacrado, enterrado em um bunker de concreto, envolto por gás venenoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso.”
Gene SpaffordDiretor de Operações de Computador, Auditoria e Tecnologia da Segurança
Purdue University
Cenário Atual• Os requisitos de Segurança da Informação
se modificaram nos últimos tempos• Tradicionalmente a segurança era obtida
por mecanismos físicos ou administrativos• O uso dos computadores requer
ferramentas automatizadas para proteger arquivos e outras informações armazenadas
• O uso de redes e enlaces de comunicação requer medidas de proteção durante a transmissão de dados
Evolução dos Sistemas de Gestão
• Sistema de Gestão da Qualidade (ISO Série 9000 – 1987)
• Sistema de Gestão Ambiental (ISO Série 14000 – 1994)
• Sistema de Gestão da Segurança e Saúde Ocupacional (OHSAS 18001 – 1996)
• Sistema de Gestão da Segurança da Informação (BS 7799-2 – 1999)
Definições• Segurança Computacional – nome
genérico para a coleção de ferramentas projetadas para proteger dados e evitar os hackers
• Segurança de Rede – medidas para proteger os dados durante as transmissões
• Segurança na Internet – medidas para proteger dados durante as transmissões sobre um conjunto de redes interconectadas
Segurança“quando tudo vai bem, ninguém lembra que existe;quando tudo vai mal, dizem que não existe;quando é para investir, acha-se que não é preciso que exista;porém, quando realmente não existe, todos concordam que deveria existir!!!”
Riscos, Vulnerabilidades e Ameaças
• Ameaça: um evento com o potencial de causar dano aos recursos de informação, aplicações ou sistemas
• Ex: Inundação, Roubo, Erro de Usuário, Falha de Hardware
• Vulnerabilidade: consiste em uma falha ou problema relacionado a um recurso computacional que, se explorado, causará o comprometimento da sua segurança
• Ex: DC ao lado do rio, Portas destrancadas, Alocação errada de direitos de senha, Falta de manutenção.
• Risco: possibilidade de uma ameaça explorar uma vulnerabilidade
• Risco = Probabilidade X Impacto
Tipos de Ameaças• Naturais• Externas• Internas• Combinadas
• Disciplinas:– Análise de Riscos– Análise de Vulnerabilidades
Do que ou de quem proteger?
• Ameaças Externas x Ameaças Internas
• Ameaças Naturais x Ameaças Não-naturais
Rótulos• Hackers – quebram a segurança com o
objetivo de obter status e projeção pessoal. Os ataques são não-destrutivos
• Espiões – quebram a segurança para ter acesso a informações que possuem valor comercial ou político
• Terroristas – violam sistemas para causar danos que acarretem em ganhos políticos
• Invasores Internos – empregados de corporações que tem objetivos de ganhos financeiros
Rótulos• Criminosos Profissionais – pessoas
que tem objetivos comerciais financeiros pessoais
• Vândalos – tem como objetivo único e exclusivo causar danos irreparáveis a vítima (crackers)
• Outros tipos e denominações: lammer, wannabe, phreaker, script kid etc.
Melhores práticas – ISO 17799
• Objetivo• Obtenção da
Segurança da Informação
• Política de Segurança
• Segurança organizacional
• Classificação e controle de ativos de informação
• Segurança em pessoas
• Segurança física e do ambiente
• Gerenciamento das operações e comunicações
• Controle de acesso• Desenvolvimento e
manutenção de sistemas
• Gestão da continuidade do negócio
• Conformidade
Exemplos Práticos• Modificação
– Invasão para a “pichação” de sites WEB– Alteração de informações em bancos de dados
• Interrupção– DoS e DDoS
• Interceptação– Roubo de senhas– Monitoramento de transações de e-commerce
• Fabricação– IP Spoofing
• Algumas técnicas combinam vários tipos de ataque.– Vírus, roubo de senhas e cartões de crédito
Arquitetura de Segurança OSI
• ITU-T X.800 “Security Architecture for OSI”
• Defines uma forma sistemática de definir e prover requisitos de segurança
• Proporciona uma visão geral dos conceitos de segurança
Aspectos de Segurança• Considere 3 aspectos de segurança
da informação:– Ataque na segurança– Mecanismo de segurança– Serviços de segurança
Ataques na Segurança• Qualquer ação que comprometa a
segurança da informação de propriedade de uma organização
• Segurança da informação diz respeito ao modo de prever ataques, ou na falha do primeiro, para detectar ataques em sistemas baseados na informação
• normalmente ameaça & ataque são usados com o mesmo significado
• Existe uma grande variedade de ataques
Categoria dos Ataques• Podemos definir quatro categorias:
– Interrupção– Interceptação– Modificação– Fabricação
• Ataque passivo: Interceptação• Ataques ativos: Interrupção,
Modificação e Fabricação
Serviços de Segurança• Incrementam a segurança dos sistemas
de processamento de dados e das transferências de informação de uma organização
• Tentam conter os ataques à segurança• Utiliza um ou mais mecanismos de
segurança• Em geral replicam funções normalmente
associadas com documentos físicos– Os quais, por exemplo, tem assinaturas,
datas, são protegidos de acesso indevido, adulteração ou destruição; são registrados e reconhecidos (cartório); gravados ou licenciados
Serviços de Segurança• X.800:
“um serviço fornecido por uma camada de protocolo de um sistema de comunicações aberto, o qual garante uma segurança adequada para os sistemas ou transferências de dados”
• RFC 2828:“um serviço de processamento ou
comunicação fornecido por um sistema para das um tipo específico de proteção aos recursos do sistema”
Serviços de Segurança (X.800)
• Autenticação – assegura que a entidade de comunicação é a verdadeira
• Controle de Acesso – prevenção de uso de recurso não autorizado
• Confidencialidade dos Dados – proteção de dados por alguém não autorizado
• Integridade dos Dados – assegura que os dados recebidos são exatamente os transmitidos pela entidade autorizada
• Não-Repúdio – proteção contra a negação por uma das partes envolvidas na comunicação
Mecanismos de Segurança• Característica projetada para
detectar, prevenir ou recuperar de um ataque à segurança
• Nenhum mecanismo sozinho irá suportar todo o serviço requerido
• Por outro lado, existe um elemento particular que agrupa muitos dos mecanismos de segurança em uso:– Técnicas de criptografia
Mecanismos de Segurança (X.800)
• Mecanismos de segurança específicos:– cifragem, assinatura digital, controles de
acesso, integridade de dados, intercâmbio de autenticação, preenchimento de trafico, controle de roteamento, registro
• Mecanismos de segurança pervasivos:– Funcionalidade confiável, etiquetas de
segurança, detecção de eventos, trilha de auditoria segura, recuperação segura
Modelo para Segurança de Rede
Men
sage
m
Men
sage
m se
gura
Men
sage
m se
gura
Men
sage
m
OponenteInformação
secreta
Canal de informação
Entidade confiável(ex. árbitro,
distribuidor de informação secreta)
Informação secreta
Transformação relativa à segurança
Transformação relativa à segurança
Remetente
Destinatário
Modelo para Segurança de Rede
• A utilização deste modelo nos exige:
1. Projetar um algoritmo apropriado para a transformação de segurança
2. Gerar as informações secretas (chaves) usadas pelo algoritmo
3. Desenvolver métodos para distribuir e compartilhar a informação secreta
4. Especificar um protocolo de habilitação para utilizar a transformação e a informação secreta pelo o serviço de segurança
Modelo Segurança de Acesso à Rede
• A utilização deste modelo requer: 1. Selecionar as funções do gatekeeper
apropriadas para identificar os usuários2. Implementas controles de segurança
para permitir que apenas usuários autorizados acessem informações designadas ou recursos
• Sistemas de computadores confiáveis pode ser útil na implementação deste modelo