segurança & auditoria de sistemas aula 03 eduardo silvestri

17
Segurança & Segurança & Auditoria de Auditoria de Sistemas Sistemas AULA 03 AULA 03 Eduardo Silvestri www.eduardosilvestri.com .br

Upload: internet

Post on 22-Apr-2015

105 views

Category:

Documents


4 download

TRANSCRIPT

Page 1: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Segurança & Segurança & Auditoria de Auditoria de

SistemasSistemas

AULA 03AULA 03

Segurança & Segurança & Auditoria de Auditoria de

SistemasSistemas

AULA 03AULA 03Eduardo Silvestriwww.eduardosilvestri.com.br

Page 2: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança

As vulnerabilidades existe, os ataques As vulnerabilidades existe, os ataques também também

existem e crescem a cada dia, tanto em existem e crescem a cada dia, tanto em quantidade quantidade

quanto em qualidade. Uma infraestrutura de quanto em qualidade. Uma infraestrutura de

segurança não é só necessário como segurança não é só necessário como obrigatória, obrigatória,

devendo existir, além de um investimento devendo existir, além de um investimento

específico, um planejamento, uma gerencia e específico, um planejamento, uma gerencia e uma uma

metodologia bem definida.metodologia bem definida.

Page 3: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança

É importante lembrar que os seres humanos É importante lembrar que os seres humanos é o elo é o elo

mais fraco desta corrente. Você pode ter os mais fraco desta corrente. Você pode ter os mais mais

perfeitos produtos de segurança, mas eles perfeitos produtos de segurança, mas eles não não

serão nada se você não tiver consciência que serão nada se você não tiver consciência que eles eles

são gerenciados e utilizados por pessoas.são gerenciados e utilizados por pessoas.

Page 4: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança

A modelagem de ameaça é a primeira etapa A modelagem de ameaça é a primeira etapa em em

qualquer solução de segurança. Quais são as qualquer solução de segurança. Quais são as

ameaças reais contra o sistema ? Se você ameaças reais contra o sistema ? Se você não não

souber disso como saberá quais souber disso como saberá quais contramedidas irá contramedidas irá

empregar ?empregar ?

A modelagem de ameaça é algo difícil de ser A modelagem de ameaça é algo difícil de ser feito, feito,

ela envolve pensar sobre um sistema e ela envolve pensar sobre um sistema e imaginar o imaginar o

vasto panorama de vulnerabilidade.vasto panorama de vulnerabilidade.

Page 5: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de SegurançaAvaliação de Risco:Avaliação de Risco:

Não é suficiente apenas listar um punhado de Não é suficiente apenas listar um punhado de

ameaças, você precisa saber o quanto deve ameaças, você precisa saber o quanto deve ser ser

preocupar com cada uma delas.preocupar com cada uma delas.

Ao projetar um sistema de segurança, é vital Ao projetar um sistema de segurança, é vital fazer fazer

este tipo de modelagem de ameaça e este tipo de modelagem de ameaça e avaliação de avaliação de

risco.risco.

Page 6: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Necessidade de uma Necessidade de uma Infraestrutura de SegurançaInfraestrutura de Segurança

Muitos projetistas de sistemas pensam no Muitos projetistas de sistemas pensam no projeto projeto

de segurança como um livro de receitas: de segurança como um livro de receitas: misture misture

contramedidas específicas, criptografia e contramedidas específicas, criptografia e firewalls firewalls

são bons exemplos e magicamente você são bons exemplos e magicamente você estará estará

seguro.seguro.

ISSO NUNCA ACONTECE.!!!!!!!ISSO NUNCA ACONTECE.!!!!!!!

Page 7: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Oportunidades e RiscosOportunidades e Riscos

Vulnerabilidades:Vulnerabilidades:

Oportunidades é o que não falta hoje na Oportunidades é o que não falta hoje na vasta vasta

quantidade de serviços disponíveis na quantidade de serviços disponíveis na internet. Ao internet. Ao

começar pelo número de usuários que temos começar pelo número de usuários que temos na na

internet e ainda pelo fato dela ser a maior internet e ainda pelo fato dela ser a maior

compradora e vendedora do mundo. compradora e vendedora do mundo.

Page 8: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Oportunidades e RiscosOportunidades e Riscos

Sem dúvida a ameaça mais comentada é o Sem dúvida a ameaça mais comentada é o hacker hacker

de computador. Não só pelo caráter de computador. Não só pelo caráter interessante do interessante do

fato, mas também pela quantidade de fato, mas também pela quantidade de problemas problemas

que um hacker mal intencionado (Cracker) que um hacker mal intencionado (Cracker) pode pode

causar.causar.

Page 9: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Oportunidades e RiscosOportunidades e Riscos

Como estar informado tecnicamente sobre as Como estar informado tecnicamente sobre as

vulnerabilidades ?vulnerabilidades ?

Pela própria Internet. Assine listas de Pela própria Internet. Assine listas de discussões discussões

específicas e visite sites de segurança todos específicas e visite sites de segurança todos os os

dias.dias.

Algumas listas de discussões.Algumas listas de discussões.

BUGTRAQ (Security Focus)BUGTRAQ (Security Focus)

BOS-BR (Brasileira, Securenet).BOS-BR (Brasileira, Securenet).

Page 10: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Oportunidades e RiscosOportunidades e Riscos

É importante também verificar É importante também verificar continuamente os continuamente os

sites dos fabricantes de software que sua sites dos fabricantes de software que sua empresa empresa

utiliza, normalmente eles possuem uma utiliza, normalmente eles possuem uma seção seção

dedicada a segurança.dedicada a segurança.

Page 11: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Conhecendo o inimigoConhecendo o inimigo

Muitos problemas de segurança são causados Muitos problemas de segurança são causados por por

pessoas maliciosas tentando ganhar algum pessoas maliciosas tentando ganhar algum tipo de tipo de

benefício, seja ele monetário, político, benefício, seja ele monetário, político, intelectual, intelectual,

etc.etc.

Page 12: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Conhecendo o inimigoConhecendo o inimigoAdversário Objetivos

Estudante Diverti-se vasculhando e-mails, roubando senhas, etc.

Hacker/Cracker Testar a segurança de sistemas, roubar informações.

Homens de Negócios Descobrir planos e estratégias de negócio do concorrente.

Ex-empregado Vingar-se por ter sido despedido

Terrorista Roubar e utilizar segredos políticos.

Page 13: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Conhecendo o inimigoConhecendo o inimigo

Outro problema grave é quantidade de Outro problema grave é quantidade de informação informação

existente na Internet hoje abordando falhas existente na Internet hoje abordando falhas de de

segurança e técnicas de invasão. Muitos segurança e técnicas de invasão. Muitos manuais e manuais e

ferramentas estão disponíveis, distribuídas ferramentas estão disponíveis, distribuídas por por

grupos de hackers e até organizações grupos de hackers e até organizações dedicadas a dedicadas a

segurança.segurança.

Page 14: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

Conhecendo o inimigoConhecendo o inimigo

Alguns sites de Hackers:Alguns sites de Hackers:

www.ussrback.orgwww.destroy.netwww.insecure.orgwww.hackershomepage.comwww.hacerkslab.comwww.rootshell.com

Page 15: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

DúvidasDúvidas

Page 16: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

PerguntasPerguntas

PublicaçõesPublicações

Page 17: Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri

www.eduardosilvestri.com.brwww.eduardosilvestri.com.br

Eduardo SilvestriEduardo [email protected]@eduardosilvestri.com.br

DúvidasDúvidas