segurança & auditoria de sistemas aula 03 eduardo silvestri
TRANSCRIPT
Segurança & Segurança & Auditoria de Auditoria de
SistemasSistemas
AULA 03AULA 03
Segurança & Segurança & Auditoria de Auditoria de
SistemasSistemas
AULA 03AULA 03Eduardo Silvestriwww.eduardosilvestri.com.br
Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança
As vulnerabilidades existe, os ataques As vulnerabilidades existe, os ataques também também
existem e crescem a cada dia, tanto em existem e crescem a cada dia, tanto em quantidade quantidade
quanto em qualidade. Uma infraestrutura de quanto em qualidade. Uma infraestrutura de
segurança não é só necessário como segurança não é só necessário como obrigatória, obrigatória,
devendo existir, além de um investimento devendo existir, além de um investimento
específico, um planejamento, uma gerencia e específico, um planejamento, uma gerencia e uma uma
metodologia bem definida.metodologia bem definida.
Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança
É importante lembrar que os seres humanos É importante lembrar que os seres humanos é o elo é o elo
mais fraco desta corrente. Você pode ter os mais fraco desta corrente. Você pode ter os mais mais
perfeitos produtos de segurança, mas eles perfeitos produtos de segurança, mas eles não não
serão nada se você não tiver consciência que serão nada se você não tiver consciência que eles eles
são gerenciados e utilizados por pessoas.são gerenciados e utilizados por pessoas.
Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança
A modelagem de ameaça é a primeira etapa A modelagem de ameaça é a primeira etapa em em
qualquer solução de segurança. Quais são as qualquer solução de segurança. Quais são as
ameaças reais contra o sistema ? Se você ameaças reais contra o sistema ? Se você não não
souber disso como saberá quais souber disso como saberá quais contramedidas irá contramedidas irá
empregar ?empregar ?
A modelagem de ameaça é algo difícil de ser A modelagem de ameaça é algo difícil de ser feito, feito,
ela envolve pensar sobre um sistema e ela envolve pensar sobre um sistema e imaginar o imaginar o
vasto panorama de vulnerabilidade.vasto panorama de vulnerabilidade.
Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de SegurançaAvaliação de Risco:Avaliação de Risco:
Não é suficiente apenas listar um punhado de Não é suficiente apenas listar um punhado de
ameaças, você precisa saber o quanto deve ameaças, você precisa saber o quanto deve ser ser
preocupar com cada uma delas.preocupar com cada uma delas.
Ao projetar um sistema de segurança, é vital Ao projetar um sistema de segurança, é vital fazer fazer
este tipo de modelagem de ameaça e este tipo de modelagem de ameaça e avaliação de avaliação de
risco.risco.
Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança
Muitos projetistas de sistemas pensam no Muitos projetistas de sistemas pensam no projeto projeto
de segurança como um livro de receitas: de segurança como um livro de receitas: misture misture
contramedidas específicas, criptografia e contramedidas específicas, criptografia e firewalls firewalls
são bons exemplos e magicamente você são bons exemplos e magicamente você estará estará
seguro.seguro.
ISSO NUNCA ACONTECE.!!!!!!!ISSO NUNCA ACONTECE.!!!!!!!
Oportunidades e RiscosOportunidades e Riscos
Vulnerabilidades:Vulnerabilidades:
Oportunidades é o que não falta hoje na Oportunidades é o que não falta hoje na vasta vasta
quantidade de serviços disponíveis na quantidade de serviços disponíveis na internet. Ao internet. Ao
começar pelo número de usuários que temos começar pelo número de usuários que temos na na
internet e ainda pelo fato dela ser a maior internet e ainda pelo fato dela ser a maior
compradora e vendedora do mundo. compradora e vendedora do mundo.
Oportunidades e RiscosOportunidades e Riscos
Sem dúvida a ameaça mais comentada é o Sem dúvida a ameaça mais comentada é o hacker hacker
de computador. Não só pelo caráter de computador. Não só pelo caráter interessante do interessante do
fato, mas também pela quantidade de fato, mas também pela quantidade de problemas problemas
que um hacker mal intencionado (Cracker) que um hacker mal intencionado (Cracker) pode pode
causar.causar.
Oportunidades e RiscosOportunidades e Riscos
Como estar informado tecnicamente sobre as Como estar informado tecnicamente sobre as
vulnerabilidades ?vulnerabilidades ?
Pela própria Internet. Assine listas de Pela própria Internet. Assine listas de discussões discussões
específicas e visite sites de segurança todos específicas e visite sites de segurança todos os os
dias.dias.
Algumas listas de discussões.Algumas listas de discussões.
BUGTRAQ (Security Focus)BUGTRAQ (Security Focus)
BOS-BR (Brasileira, Securenet).BOS-BR (Brasileira, Securenet).
Oportunidades e RiscosOportunidades e Riscos
É importante também verificar É importante também verificar continuamente os continuamente os
sites dos fabricantes de software que sua sites dos fabricantes de software que sua empresa empresa
utiliza, normalmente eles possuem uma utiliza, normalmente eles possuem uma seção seção
dedicada a segurança.dedicada a segurança.
Conhecendo o inimigoConhecendo o inimigo
Muitos problemas de segurança são causados Muitos problemas de segurança são causados por por
pessoas maliciosas tentando ganhar algum pessoas maliciosas tentando ganhar algum tipo de tipo de
benefício, seja ele monetário, político, benefício, seja ele monetário, político, intelectual, intelectual,
etc.etc.
Conhecendo o inimigoConhecendo o inimigoAdversário Objetivos
Estudante Diverti-se vasculhando e-mails, roubando senhas, etc.
Hacker/Cracker Testar a segurança de sistemas, roubar informações.
Homens de Negócios Descobrir planos e estratégias de negócio do concorrente.
Ex-empregado Vingar-se por ter sido despedido
Terrorista Roubar e utilizar segredos políticos.
Conhecendo o inimigoConhecendo o inimigo
Outro problema grave é quantidade de Outro problema grave é quantidade de informação informação
existente na Internet hoje abordando falhas existente na Internet hoje abordando falhas de de
segurança e técnicas de invasão. Muitos segurança e técnicas de invasão. Muitos manuais e manuais e
ferramentas estão disponíveis, distribuídas ferramentas estão disponíveis, distribuídas por por
grupos de hackers e até organizações grupos de hackers e até organizações dedicadas a dedicadas a
segurança.segurança.
Conhecendo o inimigoConhecendo o inimigo
Alguns sites de Hackers:Alguns sites de Hackers:
www.ussrback.orgwww.destroy.netwww.insecure.orgwww.hackershomepage.comwww.hacerkslab.comwww.rootshell.com
DúvidasDúvidas
PerguntasPerguntas
PublicaçõesPublicações
www.eduardosilvestri.com.brwww.eduardosilvestri.com.br
Eduardo SilvestriEduardo [email protected]@eduardosilvestri.com.br
DúvidasDúvidas