cap2 vulnerabilidades ameacas riscos

7/31/2019 Cap2 Vulnerabilidades Ameacas Riscos

1/92

Pensando emVulnerabilidades,

Am eaas e Riscos


2/92

Objetivos

Avaliar ameaas e riscos segurana

de redes.

Aps concluir este captulo, vocestar preparado para executar asseguintes tarefas:


3/92

Tarefas

Identificar as necessidades de

segurana de rede.Identificar algumas das causas dosproblemas de segurana de rede.Identificar caractersticas e fatoresmotivadores de invaso de rede.


4/92

Tarefas

Identificar as ameaas mais

significativas na segurana de rede.

Conceituar vulnerabilidade, ameaa,risco e gerenciamento de risco.


5/92

Por que segurana ... ?

Porque para garantir a segurana nos

negcios preciso atualizarconstantemente as defesas parareduzir a vulnerabilidade s ameaasinovadoras dos invasores.


6/92

Desafios

Segurana difcil de ser

implementada uniformemente emtoda a empresa.

Escolha de uma alternativa oucombinao adequada de diversasopes de solues.


7/92

Desafios

Escolher entre vrias opes

diferentes e disponveis e adotaraquelas que satisfaam os requisitosexclusivos da rede e dos negcios.


8/92

Desafios

Os produtos diferentes devem serintegrados em toda a empresa a fimde se atingir uma nica poltica desegurana estvel.


9/92

Porque temos problemas de

segurana

Fragilidade da Tecnologia

Fragilidade de Configurao

Fragilidade da Poltica de Segurana


10/92

Fragilidade da Tecnologia

TCP/IP

Sistema Operacional

Equipamentos de Rede


11/92


So problemas causados pelo fato deno se configurar equipamentosinterligados para impedir problemasde segurana conhecidos ou

provveis.


12/92


Consideraes default inseguras nos

produtos.Equipamento de rede configuradoequivocadamente.Contas de usurios inseguras.Contas de sistemas com senhasprevisveis.


13/92

Fragilidade do Equipamento de

Rede

Proteo de senha insegura

Falhas de autenticao

Protocolos de Roteamento

Brechas no Firewall


14/92

Fragilidades da Poltica de

Segurana

Falta de uma poltica escrita.

Polticas internasFalta de continuidade dos negciosControles de acesso para equipamentos derede no so aplicados.

A administrao de segurana negligente,inclusive a monitorao e a auditoria.


15/92

Fragilidades da Poltica de

Segurana

Falta de conhecimento sobre ataques.

Alteraes e instalao de software ehardware no seguem a poltica.

Falta de Planejamento deContingncia.


16/92

Conhea seus invasores

Script KiddieNo possuem muita habilidade.Mas teve a sorte de encontrar umsistema remoto que no aplicou o

patchde correo a tempo.


17/92

Script Kiddie

So bons na razo inversamenteproporcional negligncia deadminist radores/ usurios que noacompanham listas de segurana e demaispginas de fornecedores ou CERT(Computer Emergency Response Team)


18/92

Script KiddieUm invasor que faz intruso vinculada auma falha conhecida.

No buscam inform aes e/ ou mquinasespecficas. Ou seja, ganhar acesso deroot.

Basta ter acesso para desconfigurar hom epages de forma mais fcil possvel.


19/92

Script Kiddie

Sua tcnica consiste em ficar

revirando a Internet atrs demquinas vulnerveis e fazerexploraes com exploits,ferramentas que permitam explorar

as falhas em servios.


20/92

Script Kiddie

Podem desenvolver suas prprias

ferramentas.

Existem os que no conhecemnenhuma tcnica, e tudo o quesabem executar as ferramentasfornecidas por outro script kiddie.


21/92

Cracker

Um invasor de bons conhecimentostcnicos e assim sendo, ele ser capaz deapagar seus rastros de maneira mais sutil.

Se caracteriza pelo alto nvel tcnico, namedida em que cada passo da invaso realmente estudado e bem pensado.


22/92

Cracker

Busca dados como configuraes padres ousenhas padres que ele possa explorar.

Tem capacidade para desenvolve seus prpriosexploits. So geniais e criativos para a minteno.

Realiza ataques int eligent es paracomprometer a segurana da rede.


23/92

Cracker

Suas atitudes furtivas podero

enganar at aos mais experientesadministradores.

So os verdadeiros invasores(intrusos) ou at mesmo criminososcibernticos.


24/92

HackerUm programador apaixonado.Constroem e tornam o mundo melhor.

Exemplos:

Stallman, Linus Torvalds, Ada Lovelace,Douglas Engelbart, Dennis Ritchie, KenThompson, Arnaldo Melo, Marcelo Tossati, Alan

Cox, ... ...No so fteis desconfiguradores de pginas.


25/92

Hacker

(Hacking ou Hacking t ico)

Programador ou administrador que sereserva a questionar os problemas desegurana nas tecnologias disponveis e asformas de provar o conceito do que discutido.


26/92

Hacker tico

Uma pessoa que investiga a integridade e a

segurana de uma rede ou sistemaoperacional.

Usa o conhecimento avanado sobre SW eHW para entrar no sistema atravs de

formas inovadoras.


27/92

Hacker tico

Compartilha seu conhecimento

gratuitam ente atravs da I nternet .

No usa de ms intenes. Tentaoferecer um servio comunidadeinteressada.


28/92

Conceito de Invasor

Script Kiddie

Cracker

Hacker

Phracker (pessoas que fazem acesso noautorizado a recursos detelecomunicaes)


29/92

Caractersticas de um Invasor

Sabem codificar em vrias linguagens

de programao.Conhecimentos aprofundados sobreferramentas, servios e protocolos.Grande experincia com Internet.Conhecem intimamente pelo menosdois Sos.


30/92

Caractersticas de um Invasor

Tm um tipo de trabalho que usa redes.Usam equipamentos como se fossem modode vida.

Colecionam SW e HW.

Tm vrios computadores para trabalhar.


31/92

Motivos para ameaas

Explorao de emoes (Notoriedade,Diverso).

Concorrncia de mercado

Inim igos polt icos

Ladres (atividades furtivas)

Espies (Espionagem industrial)


32/92

Motivos para ameaas

Funcionrios hostis:

empregados ou antigos empregados,vingana, ataque de Troca de Senhasou Sesses Abertas)

Investigao legal.


33/92

VulnerabilidadesAusncia de proteo cobrindo umaou mais ameaas.

Fraquezas no sistema de proteo.

Vulnerabilidades soclaramente associadas comameaas.


34/92

Exemplos

A ameaa a acesso no autorizadoest ligada a controles de acessoinadequados.

A ameaa de perda de dados

crticos e apoio ao processamento sedeve ao planejamento decontingncia ineficaz .


35/92

Exemplo

A ameaa de incndio estassociada a vulnerabilidade dapreveno contra incndioinadequada .


36/92

Bens

Bens Tangveis

Aqueles que so paupveis: HW, SW,suprimentos, documentaes, ...

Bens I ntangveis

Pessoa, reputao, motivao, moral,boa vontade, oportunidade, ...


37/92

Bens

Os bens mais importantes so as

informaes.

I nform aes ficam em algum lugarentre os bens tangveis e osintangveis.


38/92

Informaes Sensveis

I nform aes, que se perdidas, mal

usadas, acessadas por pessoas noautorizadas, ou modificadas,podem prejudicar uma organizao,quanto ao funcionamento de um

negcio ou a privacidade de pessoas.


39/92

O que uma ameaa ?Um a ameaa algum fato que podeocorrer e acarretar algum perigo

a um bem.

Tal fato, se ocorrer, ser causador deperda.

a tentativa de um ataque .


40/92

Agente de uma ameaa

uma entidade que pode iniciar a

ocorrncia de uma ameaa.

Entidade: uma pessoa:invasor / intruso


41/92

Ameaas No-Intencionais

Erros humanos,

Falhas em equipamentos,

Desast res naturais,

Problemas em comunicaes.


42/92

Ameaas Intencionais

Furto de informao,

Vandalismo,

Utilizao de recursos, violando asmedidas de segurana.


43/92

ImpactoResultados indesejados da ocorrnciade uma ameaa contra um bem, que

resulta em perda mensurvel parauma organizao.

Quase todo risco tem um impacto,

embora de difcil previso.


44/92

Risco uma medida da probabilidade daocorrncia de uma ameaa .

a probabilidade do evento causador deperda ocorrer.

Oficialmente, um risco corresponde aograu de perda .


45/92

Ameaas, Riscos, SeveridadeAmeaas variam em severidade.

Severidade: grau de dano que aocorrncia de uma ameaa podecausar.

Riscos variam em probabilidade.


46/92

Tipos de Ameaas Segurana

Acesso no-autorizado

Reconhecimento

Recusa de Servio

Manipulao de Dados


47/92

Acesso No-Autorizado

Objetivo: obter acesso como

administrador num computadorremoto.

Controlar o computador de destino

e/ ou acessar out ros interligados.


48/92

Formas de Acesso No-

Autorizado

Acesso inicial

Com base em senhasPrivilegiadoAcesso secundrioPermisso de acesso remoto

Vulnerabilidades de programaArquivos no autorizados


49/92

Reconhecimento

Monitoramento de vulnerabilidades,servios, sistemas ou trfego de rede,no sentido de levantar informaesvisando um ataque futuro.


50/92

Formas de ReconhecimentoVarreduras de porta

Investigao:- observao passiva do t rfego de redecom um utilitrio, visando padres detrfego ou capturar pacotes para anlise efurto de informao.

- Snoopingde rede (sniffingde pacotes)


51/92

Recusa de Servio

Denial of Service (DoS)

Tentativa de desativar ou corromperservios, sistemas ou redes, nosentido de impedir o funcionamento

normal.


52/92

Formas de Recusa de Servio

Sobrecarga de recurso

Dist r ibuted Denial of Service

Bombas de email


53/92

Manipulao de Dados

Captura, alterao e repetio dedados atravs de um canal decomunicao.Falsificao de IPRepetio de sesso

Repdio


54/92

Falsificao de IPOcorre quando um invasor da fora deuma rede, finge ser um computadorconfivel dentro da rede.

O IP usado est dentro do intervaloda rede invadida, ou usado um IPexterno autorizado, confivel, e parao qual disponibilizado acesso arecursos na rede.


55/92

Falsificao de IPOcorre atravs da manipulao depacotes IP.

Um endereo IP de origem de umcomputador confivel, falsificadopara assum ir ident idade de um a

mquina vlida, para obter privilgiosde acesso no computador invadido.


56/92

Segurana da Informao

Somente pessoas devidamente

autorizadas devem estar habilitadasa ler , criar , apagar ou modificarinformaes.

Controlar o acesso s informaes.


57/92

Controle de acesso: quatro

requisitos

(1) Manter confidenciais informaes

pessoais sensveis (privacidade) .

(2) Manter integridade e precisodas informaes e dos programas que

a gerenciam.


58/92

Controle de acesso: quatro

requisitos

(3) Garantir que os sistemas, informaes eservios estejam disponveis (acessveis)

para aqueles que devem ter acesso.

(4) Garantir que todos os aspectos daoperao de um SI estejam de acordo com

as leis, regulamentos, licenas, contratos eprincpios ticos estabelecidos.


59/92

Sobre requisitos

Impedir acesso a alguns usurios(requisito 1) e autorizar fcil acesso aoutros (requisito 3) requer f i ltragemmuito bem feita.

Filtragem , corresponde a introduode controles de segurana quevisem a reduzir riscos.


60/92

ConfidencialidadeIntegridade

AcessibilidadeLeis / tica


61/92

AmeaasCavalos de TriaVrus

WormsVazamento de InformaesElevao de PrivilgiosPirataria

Falhas de HardwareFraude


62/92

Ameaas

Falsificao

BackdoorDesfalqueIncndios ou Desastres Naturais


63/92

Ameaas

Erros de Programadores

SniffersEntrada InesperadaFurto de informao


64/92

Cavalo de TriaPrograma que se apresentaexecutando uma tarefa e na realidadefaz outra.Ameaa : C, I , A.Preveno: muito difcil.Deteco: pode ser muito difcil.

Severidade: potencialmente muitoelevada.


65/92

Vrus um programa que infecta outrosprogramas por modific-los. Amodificao inclui uma cpia do vrus,

o qual pode ento infectar outros.Ameaa : I, APreveno: pode ser difcil.Deteco: normalmente imediata.Severidade: pode ser baixa oupotencialmente muito elevada.


66/92

Worms um programa usa conexes de rede parase espalhar de sistema a sistema.

Uma vez ativo, um wormpode comportar-secomo a vrus, pode implantar programascavalos de tria ou realizar qualquer aodestrutiva.

Um wormse replica usando facilidade deemail, capacidade de execuo remota ecapacidade de loginremoto.


67/92

Worms

Am eaa : I ntegridade,

Acessibilidade.Preveno: pode ser difcil.Deteco: normalmente imediata,atravs de antivrus.

Severidade: pode ser baixa oupotencialmente muito elevada.


68/92

Pirataria de SoftwareCpia ilegal de software edocumentao e re-embalagem paracomercializao.Ameaa : Leis / ticaPreveno: muito difcil.Deteco: Pode ser difcil.

Frequncia: extremamente comum.Severidade: Potencialmente muitoelevada.


69/92

Erros de ProgramadoresErros naturais de programao aocodificar, provocando bugsempropores alarmantes.

Ameaas : C, I, APreveno impossvel.Deteco: s vezes difcil

Frequncia: comum.Severidade: potencialmente muitoelevada.


70/92

SniffersProgramas que podem ler qualqueraspecto de trfego em uma rede,como por exemplo, capturando

senhas, em ails e arquivos.Ameaa : Confidencialidade.Preveno: impossvel.Deteco: possivelmente detectados.Severidade: potencialmente muitoelevada.


71/92

DesfalqueNormalmente se refere a furto dedinheiro.

Ameaa : integridade e recursos.Preveno: difcil.Deteco: pode ser difcil.Frequncia: desconhecida.Severidade: potencialmente muitoelevada.


72/92

FraudeQualquer explorao de um sistemade informao tentando enganar umaorganizao ou tomar seus recursos.

Ameaa : Integridade.Preveno: difcil.Deteco: difcil.

Frequncia: desconhecida.Severidade: potencialmente muitoelevada.


73/92

FalsificaoCriao ilegal de documentos ouregist ros, intencionalmente produzidoscomo reais.Ameaa : I e outros recursos.Preveno: pode ser difcil.Deteco: pode ser difcil.

Frequncia: desconhecida.Severidade: potencialmente muitoelevada.


74/92

BackdoorUm programa que colocado numamquina, como se fosse um servioassociado a uma porta, mas que tem

a incumbncia de fazer uma intruso.Ameaa : C. I, A.Preveno: muito difcil.Deteco: possivelmente detectvel.Severidade: potencialmente muitoelevada.


75/92

Controles e ProteesControles so procedimentos ou medidasque reduzem a probabilidade associada aosriscos.

Protees so controles fsicos,mecanismos, ou polticas, que protegem osbens de ameaas.

Exemplos de proteo: alarmes, senhas,controles de acesso.


76/92

Custos das MedidasOs gastos com segurana devem serjust ificados com o qualquer out ro.

A chave para selecionar medidas deseguranas adequadas a habilidadede estimar a reduo em perdas

depois da implementao de certasprotees.


77/92

Custo-BenefcioUma anlise de custo-benefciopermite justificar cada proteoproposta.

O custo das medidas de seguranadeve ser sempre inferior ao valor das

perdas evitadas.


78/92

Exposies

Exposies so reas da rede comprobabilidade de quebra maior queoutras.


79/92

Especialista em SeguranaApresentar controles paramodificar as exposies, de modoque todos os eventos de determinada

severidade tenham a mesmaprobabilidade.

Minimizar o custo de controles, ao

mesmo tempo, maximizando areduo de exposies.


80/92

Gerenciamento de Riscos

Espectro de atividades, incluindo os

controles, procedimentos fsicos,tcnicos e administrativos, que levama solues de segurana de baixocusto.


81/92

Gerenciamento de Riscos

Procura obter as protees mais

efetivas contra ameaas intencionais(deliberadas) ou no intencionais(acidentais) contra um sistemacomputacional.


82/92

Gerenciamento de RiscosTem quatro partes fundamentais.

Anlise de Risco (determinao derisco)Seleo de Proteo

Certificao e Credenciamento

Plano de Contingncia


83/92

Anlise Risco

Pedra fundamental da gerncia de

riscos.

Procedimentos para estimar aprobabilidade de ameaas e perdasque podem ocorrer devido avulnerabilidade do sistema.


84/92

Anlise de Risco

O propsito ajudar a detectarprotees de baixo custo e prover onvel de proteo necessrio.


85/92

Seleo de Proteo

Os gerentes devem selecionarprotees que diminuem certasameaas.

Devem determinar um nvel de riscotolervel e implementar protees de

baixo custo para reduzir perdas emnvel aceitvel.


86/92

Seleo de Proteo

As protees podem atuar de diversosmodos:- Reduzir a possibilidade de ocorrncia

de ameaas.- Reduzir o impacto das ocorrncias das

ameaas.

- Facilitar a recuperao dasocorrncias das ameaas.


87/92

Seleo de Proteo

A gerncia deve focalizar reas que

tm grande potencial para perdas.

As protees devem ter boa relaocusto-benefcio, isto , trazer mais

retorno que os gastos comimplementao e manuteno.


88/92

Certificao

Podem ser importantes elementos da

gerncia de risco.

Certificao verificao tcnica deque as protees e controles

selecionados so adequados efuncionam corretamente.


89/92

Credenciamento

Credenciamento a autorizaooficial para operao, correes desegurana ou suspenso de certasatividades.


90/92


Eventos indesejados acontecem,independente da eficincia do programa de

segurana.

Permite uma resposta controlada queminimiza danos e recupera operaes o

mais rpido possvel.


91/92


um documento ou conjunto de

documentos que permitem aesantes, durante, e depois daocorrncia de evento no desejado(desastre) que interrompe operaes

da rede.


92/92

Avaliando ameaas

Exemplos (material escrito,distribudo em aula)

Caracterizando ameaas.

Examinar as ameaas possveis uma rede.

cap2 vulnerabilidades ameacas riscos

Documents