palestra - segurança de notebooks e dados em repouso

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança de Notebooks e Dados em Repouso

Março de 2010

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI SafeSobre a TI Safe

• Missão– Fornecer produtos e

serviços de qualidade para a Segurança da Informação

• Visão– Ser referência de

excelência em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Não precisa copiar...Não precisa copiar...

http://www.tisafe.com/recursos/palestras/


AgendaAgenda

• Definições• Introdução• Protegendo dados em repouso• Após o ataque• Soluções da TI Safe


Para pensarPara pensar

“...If you try to protect ererything, usually in the end you protect nothing.”

“...Se você tentar proteger tudo, no final você acabará não protegendo nada.”


Controle de acesso a dadosControle de acesso a dados

• Antagonismo: Disponibilidade vs. Confidencialidade

Confidencialidade

Dis

poni

bilid

ade


Quanto vale a informaQuanto vale a informaçção ?ão ?

• Custos estimados de perdas financeiras anuais com espionagemnos EUA : US$ 100 bilhões;

• A Associação de Bancos Britânicos estima em US$ 8 bilhões porano a perda financeira com fraudes por computador;

• 75% de empresas americanas pesquisadas tem tido roubos dePC’s; 80% tem tido softwares roubados;

• Perdas intangíveis:– Perda de confiança dos clientes– Perda de vantagem competitiva– Perda de produtividade

Fontes: White House Office of Science and Technology, National Computer Security Association Survey, Michigan State University Survey, Forrester Research


DefiniDefiniççõesões

• Quanto vale a informação?– Identificar os recursos (os ativos) do negócio– Identificar as ameaças– Quantificar o impacto do risco em potencial– Fazer o balanço entre os possíveis impactos do dano e suas

contramedidas

A informação é tão valiosa quanto o valor dos negócios associados a ela

Para pensar

ProbabilidadeEventoConseqüências

Risco

ISSO/IEC Guide 73:2002


DefiniDefiniççõesões

• O que são dados em repouso?– Informações armazenadas em um disco rígido, arquivo, pastas,

aplicações, bancos de dados ou qualquer meio quando não estão trafegando na rede.

• Por que precisamos deles?– Além das utilizações diárias para consultas e edições, “...existem cada

vez mais requisitos de conformidade e normativos para que as empresas guardem os dados. Separadamente, o conceito de eliminação de dados está rapidamente a desaparecer. As empresas não querem apagar dados – seja devido aos seus próprios regulamentos da atividade ou da compreensão de que os dados têm um valor potencial a longo prazo. Estes dados de “não produção” são encarados como um ativo empresarial...”

http://www.sun.com/emrkt/boardroom/newsletter/portugal/1005feature.html


AgendaAgenda



EstatEstatíísticos sticos –– custos dos incidentescustos dos incidentes


ClassificaClassificaçção dos dadosão dos dados

• Classificação dos dados quanto a sua importância– Os níveis de classificação de dados devem ser definidos quanto aos:

• Procedimentos de acesso e uso das informações• Padrões de como as informações devem ser utilizadas• Procedimentos para exclusão das informações quando não forem mais

solicitadas

Classificação comercial Classificação militar-governamental

•Confidencial•Privado•Sensível•Público

•Ultra secreto•Secreto•Confidencial•Sensível (desclassificado)•Desclassificado


BellBell--LaPadulaLaPadula

Usuário

Não LêNão Escreve

Pode LerNão Escreve

Confidencial

Privado

Sensível

Público

Pode LerPode Escreve


Muralha da ChinaMuralha da China


Matriz de permissõesMatriz de permissões

Administrativo Comercial Técnico Impressora

Secretária Controle total Lê somente Sem acesso Executa

Diretor Lê somente Controle total Lê somente Executa

Analista Sem acesso Sem acesso Controle total Executa

Porteiro Sem acesso Sem acesso Sem acesso Sem acesso


O que O que éé um ataque a dados digitais?um ataque a dados digitais?

• O que é um ataque a dados digitais?– Qualquer evento adverso, confirmado ou sob suspeita, relacionado à

segurança de sistemas de computação ou de redes de computadores.

– Exemplos:• Tentativas de ganhar acesso não autorizado a sistemas ou dados; • Uso ou acesso não autorizado a um sistema; • Modificações em um sistema, sem o conhecimento, instruções ou

consentimento prévio do dono do sistema; • Desrespeito à política de segurança ou à política de uso aceitável de uma

empresa ou provedor de acesso.

http://www.cert.br/docs/certbr-faq.html#6


ClassificaClassificaçção de riscosão de riscos

• Quais os riscos aos quais os dados estão expostos?

FUNCIONÁRIOS

FalhasSabotagemUso indevido

OUTROS

HackersClientesTerceiros

AMBIENTE

DesastresInfra-estrutura

CÓDIGOS / APLICAÇÕES

VírusCavalos de Tróia

CONTROLES

Informação


Filtragem de informaFiltragem de informaççãoão

• Filtragem de informação (uso de políticas de segurança)

Leis e regulamentações

Política geral da empresa

Políticas funcionais

Padrões Procedimentos Linhas Base Linhas Guia


NDANDA

• Termos de responsabilidade e confidencialidade (NDAs)

– Pode ter (tem) valor legal– Seu prazo de validade varia conforme a validade das informações– É assinado por todos que tenham acesso a dados confidenciais

É um contrato de sigilo


IntroduIntroduçção ão àà criptografiacriptografia

• Introdução à criptografia

– Escrever secretamente, ou seja, por meio de códigos, sinais ou cifras.– Tem sido usada há décadas...

• Área Militar• Órgãos Governamentais• Instituições Financeiras

– Existem dois tipos de criptografia: simétrica e assimétrica, a segunda também é chamada de criptografia de chave pública.


Criptografia SimCriptografia Siméétricatrica

Chave

DadosDados

ChaveA chave usada para cifrar também é usada para decifrar.

Dados


Criptografia AssimCriptografia Assiméétricatrica

Chave Privada Chave Pública

DadosDadosDados

A chave usada para cifrar não é usada para decifrar


Assinatura digitalAssinatura digital

• Assinatura digital – Infra-estrutura de chaves públicas

AutoridadeCertificadora

Internet

AutoridadeRegistradora

CertificadoDigital

Usuário e chaves


Certificados digitaisCertificados digitais

• Assinatura digital – Certificados digitais

CA Authorized

X.509 X.509 CertificateCertificateVersion #Serial #

Signature AlgorithmIssuer Name

Validity PeriodSubject Name

Subject Public KeyIssuer Unique ID

Subject Unique IDExtensions

Digital SignatureEmitido pela Polícia Federal


AplicaAplicaçção da assinatura digitalão da assinatura digital

• Assinatura digital – Aplicação

Doc.Eletrônico Função

Hash

FunçãoAssinaturahash

Privada

Somente quempossui a ChavePrivada podeassinar

Doc.Eletrônico

AssinaturaDigital

Doc. Assinado


Aspectos legaisAspectos legais

Sox, Basileia II, Decreto 5301:2004

– ObjetivoFornecer maior confiança aos investidores e sustentabilidade às organizações

– Exige que as empresas demonstrem boas práticas corporativas:• Impõe procedimentos efetivos de governança corporativa;• Penalidades com imposição civil e criminal internacional;• Ampliação da cultura de ética profissional;• Declaração de Responsabilidade da administração em estabelecer e

manter um sistema de controles internos e métricas efetivas para:– Avaliação da efetividade dos Controles;– Declaração de auditoria independente certificando a avaliação da

gerência;– Declaração identificando a metodologia usada para implantar e avaliar

os controles internos


Aspectos normativosAspectos normativos

• Já conhecidosISO 9000 (qualidade)ISO 14000 (meio ambiente)

• Para a segurança:ISO 27001 (antigas BS7799-2, ISO 17799)


Onde a informaOnde a informaçção estão estáá??

Empresa XPTO


Onde a informaOnde a informaçção estão estáá??

Empresa XPTO

Informações expostas


Caso reais Caso reais –– Ernest & YoungErnest & Young


Caso reais Caso reais –– FidelityFidelity InvestimentsInvestiments


Casos reais Casos reais –– Ford do BrasilFord do Brasil


Casos reais Casos reais –– Ford do BrasilFord do Brasil

• B402 – R$ 800 Milhões• Novo Fiesta• Planejamento comercial da

montadora para os próximos anos• Dados roubados por funcionário via

CD (revista Época, junho 2005)


Casos reais Casos reais –– Prefeito Prefeito éé alvo de ataquealvo de ataque


AgendaAgenda



Dispositivos fDispositivos fíísicossicos

• Dispositivos físicos

– Manter portas de acesso travadas – Retirar drivers “desnecessários” para o usuário– Uso de travas de segurança (cadeados, travas de teclados, etc)– Catalogar mídias removíveis– Uso de SmartCards, tokens, biometria

• Notebooks– Identificar física e logicamente– Fazer seguro dos equipamentos– Uso de SmartCards, tokens, biometria– Manutenção preventiva dos equipamentos


Cifragem de discosCifragem de discos

Características das soluções de mercado:– Proteção do disco por completo através de criptografia forte– Controle de acesso integrado ao pré-boot da máquina– Identificação de alteração de hardware– Bloqueio de força bruta (travamento da máquina)


Cifragem de discosCifragem de discos

Teste de disco cifrado


Portas de conexãoPortas de conexão

• Proteção de portas de conexão

– Definição de permissões de uso – Monitoramento de dispositivos físicos (dispositivos habilitados ou não)– Desabilitar portas de conexão física (USB, COM, LPT, Serial, etc)


Ataques internosAtaques internos

• Protegendo-se de ataques internos

– Uso de Firewall, antivírus, anti-spyware, locais– Armazenamento seguro de senhas– Evitar que pessoal não autorizado mexa nos equipamentos– Manter pastas e arquivos sensíveis disponíveis apenas quando

necessário – Evitar os “shoulder-surfers”– Topologia segura


Ataques externosAtaques externos

• Protegendo-se de ataques externos

– Identificação de pessoal– Ferramentas e procedimentos de proteção

• Firewalls• Antivírus• Intrusion Detection System (IDS)• Intrusion Prevention System (IPS)• DeMilitarized Zone (DMZ)• Honey Nets• Topologia segura• Controle de acesso reforçado• Atualização de patches

– Topologia segura


Topologia seguraTopologia segura

FW 1FW 1 FW 2FW 2 FW 3FW 3

HoneyHoney NetNet

DMZ 1DMZ 1

FW IFW I

DMZ 2DMZ 2

IDSIDS


Servidores e mServidores e míídias de backupdias de backup

• Proteção de servidores e mídias de backup

Servidores BackupsPortas de identificaçãoCFTVSalas-cofrePessoal restritoSistemas de fuga

Agendamento de backupsBackup do backupArmazenamento em cofresDiferentes locaisSistemas de fuga


SeguranSegurançça de direta de diretóóriosrios

• Segurança de diretórios

– Definição de poderes de acesso– Cifragem de pastas– Organização de documentos


PolPolíítica de segurantica de seguranççaa

• Itens abordados pela política– Controle de acesso físico a máquinas e mídias– Política de mesa e desktop limpos– Aplicação de camadas de acesso (políticas em X509)– Instalações/usos de softwares (exemplificado)


PolPolíítica de segurantica de seguranççaa

• Política Diretivas abrangentes, de alto nível

• PadrõesAtividades mandatórias

• Linhas BaseDescrição de configurações mandatórias

• ProcedimentosFuncionamento passo-a-passo

• Linhas GuiaRecomendações abrangentes


PolPolíítica de segurantica de segurançça a -- ExemploExemplo

• Exemplo de política de instalação e uso de antivírus

– Política• Aqueles que detém informações da empresa são responsáveis pela sua

integridade– Padrões– Linhas Base– Procedimentos– Linhas Guia



• Exemplo de política de antivírus


integridade– Padrões

• Os usuários devem utilizar o antivírus XYZ– Linhas Base– Procedimentos– Linhas Guia






• Os usuários devem utilizar o antivírus XYZ– Linhas Base

• As configurações de varredura do antivírus XYZ devem ser marcadas como heurística e para todos os arquivos, afim de garantir a integridade das informações armazenadas

– Procedimentos– Linhas Guia






• Os usuários devem utilizar o antivírus XYZ– Linhas Base

• As configurações de varredura do antivírus XYZ devem ser marcadas como heurística e para todos os arquivos, afim de garantir a integridade das informações armazenadas

– Procedimentos• Todos os usuários receberão atualizações semanais do software XYZ. Nos

intervalos e ao final do dia os usuários devem bloquear suas sessões do sistema operacional.

– Todo novo arquivo deve ser verificado quanto à existência de vírus– Sempre que possível as mídias de armazenamento externo devem ser protegidas

contra gravação– Toda atividade suspeita ou desautorizada deverá ser imediatamente comunicada

ao Grupo de Proteção da Informação, pelo ramal 5555

– Linhas Guia




– Política• Aqueles que detém informações da empresa são responsáveis pela sua integridade

– Padrões• Os usuários devem utilizar o antivírus XYZ

– Linhas Base• As configurações de varredura do antivírus XYZ devem ser marcadas como heurística e

para todos os arquivos, afim de garantir a integridade das informações armazenadas– Procedimentos

• Todos os usuários receberão atualizações semanais do software XYZ. Nos intervalos e ao final do dia os usuários devem bloquear suas sessões do sistema operacional.

– Todo novo arquivo deve ser verificado quanto à existência de vírus– Sempre que possível as mídias de armazenamento externo devem ser protegidas

contra gravação– Toda atividade suspeita ou desautorizada deverá ser imediatamente comunicada

ao Grupo de Proteção da Informação, pelo ramal 5555– Linhas Guia

• Os funcionários que utilizam sistemas computacionais devem participar de seminários sobre o poder destrutivo dos vírus e entender quais são suas responsabilidades pessoais


Ganhei uma senha. E agora?Ganhei uma senha. E agora?

• Armazenamento seguro de senhas

– Memorizar– Entropia de senha amigável– Arquivos cifrados


PasswordPassword SurveySurvey

Changed at least every 30 days.

Made up of one or more special characters.

An acronym from a phrase.

A keyboard pattern (qwerty, asdf, zxcvbn, etc.).

Plural or capitalization permutation of common words.

A common or vulgar phrase (deadhead).

A biological term.

A word from the King James Bible.

6 to 8 characters.

All the same letter or number (6666666 or ZZZZZZZ).

All numbers associated with you (Social Security Number, Phone Number, Birthdate).

A name associated with you (Maiden name, pet name, child’s name, favorite celebrity, teams, films, etc.).

The reverse spelling of a dictionary word.

A dictionary word (English or other languages).

NOYESIs Your Password…


Fatores de autenticaFatores de autenticaççãoão

• Múltiplos fatores de autenticação

– O quê você sabe?• Senhas, respostas secretas, dados particulares

– O quê você tem?• Token, SmartCard, OTP, etc

– O quê você é?• Biometria, reconhecimento de voz, etc



• O quê você sabe?

– Benefícios• Só você sabe• Independe de dispositivos

– Problemas• É fraca como única solução• Tem restrições• Inevitavelmente outras pessoas podem saber



• O quê você tem?

– Benefícios• Associa o que você sabe ao que você tem• As chaves ficam armazenadas internamente• São portáteis (alguns à prova d’água)

– Problemas• Restauração difícil• Necessita de uma porta específica e dedicada (USB ou leitora)• Se perdido, gera burocracia



• O que você é?

– Benefícios• São “códigos” únicos no mundo• Geralmente são associados à senhas• Não são copiáveis, emprestáveis, compartilháveis

– Problemas• Ferimentos• Imprecisão (falso-positivo)• Valor de implementação


Como funciona a biometriaComo funciona a biometria


Impressão digital Impressão digital -- Detalhes da Minutiae


Reconhecimento pela Reconhecimento pela íírisris

• Consiste nos seguintes passos:– Detectar a presença do olho na imagem– Localizar os limites interiores e exteriores da Íris– Detectar e excluir as pálpebras, se forem indutoras de erro– Definir um sistema de coordenadas 2D onde é mapeado o padrão

da íris e gerado o seu código


Reconhecimento por vozReconhecimento por voz

• Imperfeições– Voz muda durante o tempo devido a vários fatores:

envelhecimento natural, stress, choques térmicos, etc.– Pode ser enganado por uma voz gravada.– Template da onda é muito grande (~6Kb).– Podemos obter templates diferentes dependendo do

microfone utilizado.


Geometria da mãoGeometria da mão

• O Mapeamento da mão consiste na obtenção de dados como o comprimento e largura dos dedos na imagem capturada. Estas medidas definem o mapa da mão de uma pessoa.


Comparativo entre as tComparativo entre as téécnicas biomcnicas bioméétricastricas


O mentirosoO mentiroso

• Como se proteger do Engenheiro Social

– Segurança física– Segurança técnica (lógica)– Segurança administrativa




– Segurança física• Assaltos• Vandalismo• Catástrofes

– Segurança técnica (lógica)– Segurança administrativa




– Segurança física– Segurança técnica (lógica)

• Firewall• Controle de acessos• Controle de usuários• IDS

– Segurança administrativa




– Segurança física– Segurança técnica (lógica)– Segurança administrativa

• Políticas de segurança• Procedimentos• Educação (conscientização) de usuários• “Investigação” de novos empregados


EducaEducaçção de usuão de usuááriosrios

• Educação (conscientização) de usuários

– Revisão da política de segurança– Explicar os controles de acesso físico– Classificação dos tipos de informação e as formas de utilizar– Manejo das informações de procedência desconhecida/ duvidosa– Técnicas de engenharia social– Ética corporativa– Comunicação dos incidentes

de segurança


CertificaCertificaçção digitalão digital

• Certificação digital

– O certificado digital é um documento eletrônico, que identifica pessoas físicas e jurídicas e também servidores;

– Contém informações importantes para a comunidade e para a aplicação a que se destina.


AgendaAgenda

• Definições• Introdução• Protegendo dados em repouso• Após o ataque• Sobre a TI Safe


Apagando incêndiosApagando incêndios

• O que fazer se tudo der errado? (planos de contingência)

– Implantação de Business Continuity Planning (BCP)– Implantação de um Centro de Resposta a Incidentes– Ativação do Disaster Recovery Plan (DRP)


A importância das atualizaA importância das atualizaççõesões

• Como dezenas de novas ameaças aparecem a cada dia, a atualização do sistema é absolutamente imprescindível para garantir a segurança do computador. Quanto mais atualizado, mais seguro estará o sistema, pois dezenas de novas falhas são expostas a cada dia.Por exemplo, se você não atualizar o seu anti-vírus, você ficaráprotegido apenas dos vírus conhecidos no momento em que a última atualização foi feita. Se nunca foi feita uma atualização, a proteção se resumirá aos vírus conhecidos no momento em que o antivírus foi lançado.

O Blaster apareceu menos de um mês depois que a Microsoft informou a respeito da vulnerabilidade explorada pelo worm e forneceu o patchpara corrigi-la.


ConclusãoConclusão

• Considerações finais

EducarEducar

PolPolííticasticas

Gerenciar

Gerenciar Proteger

Proteger

Monitorar

MonitorarAudita

r

Audita

r


Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa

• Acesse www.tisafe.com/forum e cadastre-se


ContatoContato