segurança e auditoria de sistemas · auditoria auditoria – processo de coleta de evidências de...
Post on 11-Nov-2018
235 Views
Preview:
TRANSCRIPT
Segurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Jéfer Benedett Dörrprof.jefer@gmail.com
● Segurança● Auditoria
Conteúdo
Auditoria
● Auditoria – processo de coleta de evidências de uso dos recursos existentes, a fim de identificar as entidades envolvidas num processo de troca de informações, ou seja, a origem, destino e meios de tráfego de uma informação.
● Auditor: aquele que ouve; ouvinte;
– técnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de sua especialidade;
– perito a quem se dá a incumbência de examinar minuciosamente e dar parecer sobre as operações de uma empresa ou instituição, atestando a correção ou incorreção das mesmas;
Conceitos de básicos● A auditoria é uma atividade que engloba o exame das
operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.
● A Auditoria da TI é uma auditoria operacional, analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade.
Objetivos do Auditor● Objetivos do auditor Melhorar a eficiência e reduzir custos
Melhorar a qualidade do trabalho de auditoria
● Preparar-se para a globalização dos negócios
● Manter a autenticidade e integridade dos dados, eficiência na empresa.
● Buscar pontos vulneráveis
● Analisar rotinas
● Novas funções:
– Analista de Segurança
– Analista de Qualidade
Perfil do Profissional Auditor em Informática
● designado pela alta administração da empresa para avaliar, examinar e descobrir os pontos falhos e a devida eficácia dos departamentos por ela vistoriados.
● profissional de grande conhecimento da área de processamento de dados e todas as suas fases.
● Deve ter objetividade, discrição, raciocínio lógico e principalmente um sentimento real de independência, ou seja, em seus relatórios sejam eles intermediários ou finais, devem possuir personalidade e até mesmo os fatos incorretos na administração do auditado.
● auditado é aquela pessoas ou setor que sofre a investigação da auditoria.
Posicionamento da Auditoria dentro da organização
● totalmente independente dos outros setores a fim de que não tenha influências no seu desempenho
● ligado diretamente à alta administração da empresa.
● planejamento prévio, a nível de datas, de quando e como irão ocorrer as auditorias.
● sigilo do planejamento é importante para que não hajam acertos de última hora que irão resultar em relatórios não condizentes com a realidade, prejudicando o desempenho da organização.
●
Importância da auditoria de sistemas
● Altos investimentos das organizações em sistemas computadorizados
● Necessidade de garantir a segurança dos computadores e seus sistemas
● Garantia do alcance da qualidade dos sistemas computadorizados
● Auxiliar a organização a avaliar e validar o ciclo administrativo
Auditoria e suas fases
Pré-Auditoria:
● enviado ao departamento a ser auditado um anúncio, através de um notificação formal do setor de auditoria ou pelo setor de Controle Interno da empresa.
● definir as áreas a auditar, orientar o grupo de auditores quanto a estratégia a ser adotada, preparar o documento de anúncio e anunciar o setor da Auditoria.
Auditoria e suas fases
Auditoria:
● avaliar os Controles(ou seja, como a área auditada funciona);
● documentar os desvios encontrados (falhas);
● validar as soluções, preparar o relatório final e apresentá-lo para a Presidência.
● O Setor Auditado deve prover as informações necessárias ao trabalho da auditoria, analisar a exposição dos desvios encontrados, entender os desvios encontrados, desenvolver planos de ação que solucionarão os desvios encontrados, corrigir as exposições e revisar o Sumário Executivo.
Auditoria e suas fasesPós-Auditoria:● relatório final detalhando as suas atividades.
● os fatos identificados, as ações corretivas recomendadas e a avaliação global do ambiente auditado.
● enviado a todas as linhas administrativas, começando pela presidência e terminando no representante do setor auditado.
● o Setor Auditado deve solucionar os desvios encontrados pela auditoria, preparar resposta ao Relatório Final e apresentar para a Presidência, administrar conclusão dos desvios e manter o controle para que os erros não se repitam e a eficácia seja mantida.
● O Grupo Auditor deve distribuir o Relatório Final, revisar resposta recebida(soluções e justificativas apresentadas), assegurar o cumprimento do compromissado e analisar a tendência de correção.
Pós-Auditoria:● relatório final detalhando as suas atividades.
● os fatos identificados, as ações corretivas recomendadas e a avaliação global do ambiente auditado.
● enviado a todas as linhas administrativas, começando pela presidência e terminando no representante do setor auditado.
● o Setor Auditado deve solucionar os desvios encontrados pela auditoria, preparar resposta ao Relatório Final e apresentar para a Presidência, administrar conclusão dos desvios e manter o controle para que os erros não se repitam e a eficácia seja mantida.
● O Grupo Auditor deve distribuir o Relatório Final, revisar resposta recebida(soluções e justificativas apresentadas), assegurar o cumprimento do compromissado e analisar a tendência de correção.
Inter-Relação entre auditoria e segurança em informática
Pós-Auditoria:● relatório final detalhando as suas atividades.
● os fatos identificados, as ações corretivas recomendadas e a avaliação global do ambiente auditado.
● enviado a todas as linhas administrativas, começando pela presidência e terminando no representante do setor auditado.
● o Setor Auditado deve solucionar os desvios encontrados pela auditoria, preparar resposta ao Relatório Final e apresentar para a Presidência, administrar conclusão dos desvios e manter o controle para que os erros não se repitam e a eficácia seja mantida.
● O Grupo Auditor deve distribuir o Relatório Final, revisar resposta recebida(soluções e justificativas apresentadas), assegurar o cumprimento do compromissado e analisar a tendência de correção.
Pós-Auditoria:● relatório final detalhando as suas atividades.
● os fatos identificados, as ações corretivas recomendadas e a avaliação global do ambiente auditado.
● enviado a todas as linhas administrativas, começando pela presidência e terminando no representante do setor auditado.
● o Setor Auditado deve solucionar os desvios encontrados pela auditoria, preparar resposta ao Relatório Final e apresentar para a Presidência, administrar conclusão dos desvios e manter o controle para que os erros não se repitam e a eficácia seja mantida.
● O Grupo Auditor deve distribuir o Relatório Final, revisar resposta recebida(soluções e justificativas apresentadas), assegurar o cumprimento do compromissado e analisar a tendência de correção.
Dificuldades encontradas pela Auditoria de Sistemas na Empresa
● Defasagem tecnológica● Falta de bons profissionais● Falta de cultura da empresa● Tecnologia variada e abrangente
Por que se preocupar com Segurança?
● Roubo ou desvio de informações● Destruiçao de informações ou recursos● Modificação ou deturpação de informação● Revelação de informações confidenciais● Interrupção de Serviço
Principios Básicos de Segurança● Confidencialidade● Integridade● Disponibilidade
●
Principios Básicos de Segurança
● Confidencialidade
● Apenas pessoas autorizadas podem ter acesso à informação. Caso uma pessoa acesse informações não-autorizadas é considerado um incidente de segurança.
● pessoas de determinada organização conversam sobre assuntos de trabalho em locais públicos, disponibilizando a informação para aqueles à sua volta.
● Uma técnica muito utilizada para obter informações confidenciais é a engenharia social, .
●
Principios Básicos de Segurança
● Integridade
● Diz respeito das características da informação: completa, sem alterações, confiável.
● Quando intencionalmente ou não uma informação é alterada, por falsificação, alteração de registro de banco de dados, configura-se num incidente de segurança da informação por quebra de integridade.
● Migração de dados em base de dados, arquivo sem chave, salas não trancadas, líquido sobre papéis ou meios magnéticos podem alterar informações.
●
Principios Básicos de Segurança
● Disponibilidade
● O princípio da disponibilidade é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário.
● Perda de documentos, computadores “fora do ar”, servidores inoperantes em função de ataques e invasões, isso é um incidente de segurança por quebra de disponibilidade.
● Incêndio, enchentes, tempestades, terremotos, ataques físicos, bombas, vandalismo também são motivos para tornar informações indisponíveis.
As seis barreiras de segurança:
●Desencorajar● Cumpre o papel importante de desencorajar as ameaças. Estas,
por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmera de vídeo, mesmo falsa, de um aviso da existência de alarmes, campanhas de divulgação da política de segurança ou treinamento dos funcionários informando as práticas de auditoria e monitoramento de acesso aos sistemas, já são efetivos nesta fase.
As seis barreiras de segurança:● Dificultar
● Adoção efetiva dos controles que irão dificultar o acesso indevido. Como exemplo, podemos citar os dispositivos de autenticação para acesso físico, como roletas, detectores de metal e alarmes, ou lógicos, como leitores de cartão magnéticos, senhas, smartcards e certificados digitais, além da criptografia, firewall etc.
●Discriminar
● Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados. Os processos de avaliação e gestão do volume de uso dos recursos, como email, impressora, ou até mesmo fluxo de acesso físico aos ambientes, são bons exemplos das atividades desta barreira.
As seis barreiras de segurança:●Detectar
●Dispositivos que analisem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja em uma tentativa de invasão, uma possível contaminação por vírus, o descumprimento da política de segurança da empresa, ou a cópia e envio de informações sigilosas de forma inadequada. Entram aqui os sistemas de monitoramento e auditoria para auxiliar na identificação de atitudes de exposição, como o antivírus e o sistema de detecção de intrusos, que reduziriam o tempo de resposta a incidentes.
● Deter
● Impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, respectivamente a ambientes e sistemas, são bons exemplos.
As seis barreiras de segurança:●Diagnosticar
●Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Pode parecer o fim, mas é o elo de ligação com a primeira barreira, cirando um movimento cíclico e contínuo. Devido a esses fatores esta é a barreira de maior importância. Deve ser conduzida por atividades de análise de riscos que considerem tanto os aspectos tecnológicos quanto os físicos e humanos, sempre orientados às características e às necessidades específicas dos processos de negócio da empresa.
●
Política de Segurança
●Controlar o que é acessado
●Senhas difíceis
●Logs
●Politicas bem definidas
●Redondância de dados e serviços
Segurança Básica
● no mundo real não existem sistemas totalmente seguros e o mundo virtual segue o mesmo preceito
● Por maior que seja a proteção adotada, estaremos sempre sujeitos a invasões, roubos e ataques.
● importante que conheçamos o perigo e saibamos como nos proteger.
● Grande parte dos problemas ocorrem por puro desconhecimento dos procedimentos básicos de segurança por parte dos usuários
●Redondância de dados e serviços
Senhas
● serve para autenticar o usuário,
● a senha garante que determinado indivíduo que utiliza de um serviço é ele mesmo.
● Se você fornece sua senha para uma outra pessoa, esta poderá utilizar a senha para se passar por você na Internet e, dependendo do caso, o estrago poderá ser grande
Como escolher uma boa senha?
● pelo menos oito caracteres (letras, números e símbolos),
● deve ser simples de digitar
● deve ser fácil de lembrada
● sobrenome, números de documentos, placas de carros, números de telefones e datas deverão estar fora de sua lista de senhas
● Existem várias regras de criação de senhas que você pode utilizar, uma regra de ouro para a escolha de uma boa senha é: jamais utilize como senha palavras que façam parte de dicionários
● quanto mais “bagunçada” a senha melhor
Exemplo
● Por exemplo: usando a frase “batatinha quando nasce se esparrama pelo chão” podemos gerar a seguinte senha “BqnsepC”. Mas só tem 7 caracteres! Precisamos de pelo menos mais um para completar o mínimo de 8 caracteres. Assim a senha gerada fica: “!BqnsepC”
● Senhas geradas desta maneira são fáceis de lembrar e são normalmente difíceis de serem descobertas.
● Usando a última letra de cada palavra da frase da senha anterior, por exemplo, não gera uma senha muito elegante (“aoeeaoo”) e há repetição de caracteres.
Com que freqüência devo mudar minha senha?
● A regra básica é trocá-la pelo menos a cada dois ou três meses
● . A alteração da senha sempre deve ser feita pelo próprio dono!
● Lembrando: a senha é importantíssima e mantê-la em segredo é a sua segurança!
Quantas senhas diferentes devo usar?
● Várias, uma para cada serviço
Quantas senhas diferentes devo usar?
● Várias, uma para cada serviço
Problemas Usuais de Segurança
Engenharia Social
● métodos de obtenção de informações importantes do usuário, através de sua ingenuidade ou da confiança.
● Quem está mal intencionado geralmente utiliza telefone, e-mails ou salas de bate-papo para obter as informações que necessita.
● Por exemplo: Algum desconhecido liga para a sua casa e se diz do suporte técnico do seu provedor.
● Outro caso típico são sites desconhecidos que prometem “horas grátis” em seu provedor caso você passe o seu username e a sua senha para eles. É claro que eles utilizarão estes dados para conseguir “horas grátis”, não para você mas para eles.
Cavalos de Tróia
● mitologia grega,
● Daí surgiram os termos Presente de Grego e Cavalo de Tróia.
● Em tempos modernos o cavalo virou um programa e a cidade o seu computador.
● Conhecidos como Cavalos de Tróia ou Trojan Horses estes programas são construídos de tal maneira que, uma vez instalados nos computadores, abrem portas em seus micros, tornando possível o roubo de informações (arquivos, senhas, etc.).
O que um Cavalo de Tróia pode fazer em meu computador?
● O Cavalo de Tróia, na maioria das vezes, vai possibilitar aos hackers o controle total da sua máquina. Ele poderá ver e copiar todos os seus arquivos, descobrir todas as senhas que você digitar, formatar seu disco rígido, ver a sua tela e até mesmo ouvir sua voz se o computador tiver um microfone instalado. Este processo é chamado de invasão.
● O hacker poderá me invadir se o computador não estiver conectado à Internet?
● O computador pode ser infectado por um Cavalo de Tróia sem que se perceba?
● Backdoors
● Os Backdoors são abertos devido a defeitos de fabricação ou falhas no projeto dos programas, isto pode acontecer tanto acidentalmente ou ser introduzido ao programa propositalmente. Como exemplo: versões antigas do ICQ possuem defeito que abre um Backdoor que permite ao hacker derrubar a conexão do programa com o servidor, fazendo que ele pare de funcionar.
● Backdoors
● Os Backdoors são abertos devido a defeitos de fabricação ou falhas no projeto dos programas, isto pode acontecer tanto acidentalmente ou ser introduzido ao programa propositalmente. Como exemplo: versões antigas do ICQ possuem defeito que abre um Backdoor que permite ao hacker derrubar a conexão do programa com o servidor, fazendo que ele pare de funcionar.
● Como se prevenir dos Backdoors?
● A maneira mais correta é sempre atualizar as versões dos programas instalados em seu computador. É de responsabilidade do fabricante do software avisar aos usuários e prover uma nova versão corrigida do programa quando é descoberto um Backdoor.
● Vírus
● programas capazes de se reproduzir.
● capacidade do mesmo de se copiar de um computador a outro utilizando-se de diversos meios: através dos disquetes, embutindose em documentos de texto ou planilhas de cálculo e, atualmente, distribuindo-se por e-mail.
● Como o computador é infectado por um Vírus?
● O que os Vírus podem fazer no computador?
Programas de E-Mail
● Medidas preventivas no uso dos programas de E-Mail
● Existem no entanto medidas preventivas que minimizam os problemas trazidos com os e-mails:
● 1. Desligue a opção de “auto-execução” dos programas anexados ao e-mail;
● 2. Desligue a opção de “auto-abertura” dos arquivos anexados aos e-mails;
● 3. Desligue as opções de execução de programas Java e do JavaScript.
Seus problemas acabaram - chegou mailinator
● Você já teve que se cadastrar em um serviço em que exigem um monte de informação de você, inclusive seu email?
● Depois este mesmo email é usado para que te enviem um monte de lixo.
● É claro que você não tem interesse em poluir sua caixa postal, daí você cria uma conta falsa em algum lugar
● O mailinator chegou para acabar com estes problemas.
● Mande um email para um endereço terminado em "mailnator.com" e sua conta é criada na hora.
● Para ler o email você não precisa de senha, basta fornecer o endereço de email e a sua caixa postal é automaticamente aberta. Todos os emails são apagados automaticamente depois de algumas horas.
● Privacidade? Nenhuma
● Enfim, é uma conta de email projetada para receber lixo
Browsers
● Browser é todo e qualquer programa que busca páginas na Internet e as apresentam na tela. Os mais utilizados são o Netscape Navigator e o Internet Explorer.
Como um Browser pode ser perigoso?
● De várias maneiras:
● _ Através de programas Java;
● _ Através de programas JavaScript;
● _ Através de programas ou controles ActiveX;
● _ Através de downloads de programas hostis em sites não confiáveis.
● Nos três primeiros casos seu browser sai rodando os programas sozinho sem interferência do usuário, no último caso você tem que baixar o programa da Internet em uma pasta e rodar ou instalar o mesmo.
1- Os alarmes devem estar sempre na posição ligada (On)
2- As senhas são informações privadas e pessoais, e não devem ser ditas para ninguém.
3- Toda visita deve ser acompanhada, durante todo o tempo, por um empregado da empresa
4- Os sistemas não devem mostrar as senhas durante o processo de logon, e não se deve usar o seu nome como senha
5- Existem locais na empresa onde fumar é proibido. Verifique sempre antes de acender o cigarro
6- As salas de computadores devem estar com as portas sempre fechadas
7- Sentar em cadeiras com as pernas cruzadas pode causar acidentes
8- Todas as cadeiras da empresa devem conter braços, além de 5 pés para prevenir a cadeira de tombar
1- Software licenciado deve ser armazenado de forma segura quando não utilizado
2- Pelo código de conduta de negócios e práticas operacionais, apenas informações relacionadas aos negócios da empresa podem ser manipuladas nos sistemas e equipamentos. Além disso, sempre quando se ausentar do equipamento o mesmo deve ser bloqueado
3- As cópias de backup devem ser armazenadas em locais fisicamente separados para não serem afetados em casos de emergência tais como fogo ou inundação
4- Líquidos podem causar danos aos hardwares e disquetes e, quando quentes, podem causar sérias queimaduras nos usuários
5- Pelo código de conduta de negócios e práticas operacionais, apenas informações relacionadas aos negócios da empresa podem ser manipuladas nos sistemas e equipamentos
6- Os valores e bens pessoais devem ser guardados em locais apropriados quando não estão em uso
7- Fios soltos aumentam o perigo na área de trabalho. Os fios devem ser armazenados em locais seguros embaixo das mesas. Os equipamentos são muito sensíveis a qualidade da força elétrica. Também é recomendável o uso de no-break ou estabilizador para todos os equipamentos
8- Gavetas abertas aumentam o perigo na área de trabalho. Quando não utilizadas, devem ser fechadas
Tópicos para segurança e auditoria
● Criptografia● Vpn● Controle de acesso● Permissões● Acesso físico● Redondancias● Certificação digital● Vírus● Segurança de rede
● Firewall● Defesa de Rede
● Estratégias de Segurança
● Segurança em Linux● Auditoria● Ferramentas● Snort● Iptables● Squid
Tópicos para segurança e auditoria
linux voltados a segurança● http://pt.wikipedia.org/wiki/Knoppix_STD● http://pt.wikipedia.org/wiki/Pentoo● http://pt.wikipedia.org/wiki/PHLAK● Fccu● Helix
Livro Perícia Forense Aplicada à Informática - Ambiente Microsofthttp://www.guiatecnico.com.br/PericiaForense/principal.asp?secao=LivroPFhttp://www.linuxmall.com.br/index.php?product_id=4279
Grupo Perícia Forense Aplicada à Inform€ ¦áticahttp://br.groups.yahoo.com/group/periciaforense
Site Perícia Forense Aplicada à Informáticahttp://www.guiatecnico.com.br/PericiaForense
Revista Evidência Digitalhttp://www.guiatecnico.com.br/EvidenciaDigital
Pericia Forense
Livro Segurança
www.semola.com.br/disco/Livro_Indice.pdf
Mas que informação?
www.semola.com.br/disco/Livro_Indice.pdf
VULNERABILIDADE DNS
http://www.efetividade.net/2008/07/24/panes-na-internet-como-estar-a-salvo-e-evitar-prejuizos/
http://g1.globo.com/Noticias/Tecnologia/0,,MUL715114-6174,00.html
http://www.rnp.br/cais/alertas/2006/MS06-041.html
http://br-linux.org/2008/vulnerabilidade-no-protocolo-dns-afeta-multiplas-implementacoes/
http://www.guiadohardware.net/noticias/2008-07/4874C6EA.html
http://idgnow.uol.com.br/seguranca/2007/11/22/idgnoticia.2007-11-22.1792159854/
http://br-linux.org/2008/correcao-da-vulnerabilidade-pode-reduzir-desempenho-dos-servidores-dns/
http://idgnow.uol.com.br/internet/2008/07/11/crimes-digitais-como-a-nova-lei-pode-afetar-seu-cotidiano-virtual/
top related