Segurança da Informação (Parte I)

Prof. Walter CunhaRede LFG

Prof. Walter CunhaCurrículo:• ATRFB - Tecnologia da Informação

• Pós-Graduado em GP – FGV • Graduado em Eletrônica – ITA• Concurseiro nas horas “vagas”

Prof. Walter CunhaContatos:• E-mail:

– falecomigo@waltercunha.com– timasters@yahoogoups.com

• Atividades:–http://www.waltercunha.com/blog/–http://twitter.com/TIMasters/

Escopo• Abordar os tópicos de informática maiscobrados pelas principais bancas.• Familiarizar o concursando com ostipos de questões mais frequentes.• Indicar fontes de material e métodos deaprendizado complementares

Não-Escopo• Ser um curso predominantementede resolução de exercícios• Escovar Bits (Necessário à PF!)• Ensinar procedimentos específicosde invasão

Carga Horária• 04 Encontros • 04 e 05/04; 30 e 31/05• 20ha total

Programa• A Informação• Conceitos-

Chave• Ameaças• Ataques• Defesa

• Backup• Autenticação• Criptografia• Soluções

Populares• Normas Mundiais

Bibliografia• Segurança de Redes em Ambientes Cooperativos -

Fundamentos, Técnicas, Tecnologias, Estratégias -Nakamurahttp://www.submarino.com.br/produto/1/1974957?franq=271796

• Redes de Computadores - Andrew Tanenbaum 4ª Edhttp://www.submarino.com.br/produto/1/56122?franq=271796

• Gestão da Segurança da Informação Uma Visão Executiva - Marcos Sêmola http://www.submarino.com.br/produto/1/189323?franq=271796

Bibliografia• Criptografia e Segurança de Redes - Stallings,

Williamhttp://www.submarino.com.br/produto/1/21329443?franq=271796

• Boas Práticas em Segurança da Informação - Manual

do TCU (2003)

• Cartilha de Segurança para Internet – CERT• ABNT ISO/IEC 17799 e 27001

“Obrigações” dos Alunos• Revisar o material em casa• Não guardar dúvidas• Freqüentar o Blog• Convidar-me para o churrascão!

Dicas Concurso

Estudo Regular• O principal adversário é você• Existe o estudo “suficiente” (média)• É importante estar no nível da turma• É um caminho natural• Matéria definida

Estudo para Concurso• Existe a concorrência• Existe o estudo máximo (possível).• O importante é a DIFERENCIAÇÃO• Você traça o caminho• Matéria não (totalmente) definida.

Fatores Críticos (FCA)• Força Bruta – O quanto estudar• Estratégia – O que e como Estudar• Imponderável – Incontrolável• Vibração*

Tipos de Concurseiros• Sólido – pessoas rígidas, inflexíveis.• Fluidas – Pessoas Maleáveis

– Gasoso – Não tem tempo ruim.

Parte I

Segurança da InformaçãoProf. Walter Cunha

A Informação

Segurança da InformaçãoProf. Walter Cunha

InformaçãoConjunto de dados utilizados paratransferência de uma mensagementre indivíduos ou máquinas emprocesso comunicativos outransacionais.

Importância da InformaçãoA informação é considerada,atualmente, o ativo mais crítico,cujo comprometimento podeinviabilizar a continuidade daorganização.

Ciclo da Informação• Geração* • Manuseio• Transporte• Armazenamento• Descarte

Sistema de InformaçãoQualquer sistema, automatizadoou mesmo manual, que abrangepessoas, máquinas, e/ou métodosorganizados para coletar,processar, transmitir e disseminardados que representaminformação para o usuário.

Atributos da InformaçãoConfidencialidade: Limita oacesso à informação apenas àspessoas autorizadas.Sinônimos: Privacidade, Controlede Acesso.

Atributos da InformaçãoIntegridade: Garante que asinformações ou os recursos dainformação estão protegidoscontra modificações nãoautorizadas.Sinônimos: Fidelidade

Atributos da InformaçãoDisponibilidade: Possibilidade deacesso por aqueles quenecessitam das informações parao desempenho de suas atividades

Atributos da InformaçãoLegalidade: Estado legal dainformação, ou seja, emconformidade com os preceitos dalegislação em vigor.Sinônimos: Conformidade

Atributos da InformaçãoAutenticidade (positiva): Aautenticidade assegura que umremetente ou destinatário (usuárioou equipamento) de umamensagem é quem ele realmenteafirma que é.

Atributos da InformaçãoIrretratabilidade (negativa):Encarrega-se de suprimir a margempela qual o executor da ação possanegar a sua autoria, ou pelo menos,não possa fugir a responsabilidadepelo ato.Sinônimos: Não-Repúdio

Atributos da InformaçãoConfiabilidade:Conjunto da Obra.

Qto à ConfidencialidadeInformações Secretas: sãoaquelas que uma vez divulgadaspodem colocar em risco o negócioda organização.

Qto à ConfidencialidadeInformações Confidenciais: sãoaquelas que devem serdisseminadas somente paraindivíduos previamente definidos.

Qto à ConfidencialidadeInformações Privadas/Internas:Devem ser disseminadas somentedentro da empresa

Qto à ConfidencialidadeInformações Públicas: podem serdivulgadas dentro e fora daempresa.

Qto à CriticidadeCrítica - necessita de proteção noque diz respeito a sua integridadee disponibilidade.

Não Crítica - não requer essescuidados.

Qto à PrioridadeUrgentes (U) – 2 dias paraprovidências

Urgentíssimo (UU) – 24 horaspara providências

Decreto nº 4.553Dispõe sobre a salvaguarda de dados,informações, documentos e materiaissigilosos de interesse da segurança dasociedade e do Estado, no âmbito daAdministração Pública Federal, e dá

outras providências, trata tambémsobre a classificação segundo o graude sigilo.

Decreto nº 4.553Art. 5º Os dados ou informaçõessigilosos serão classificados emultra-secretos, secretos,confidenciais e reservados, emrazão do seu teor ou doselementos intrínsecos

Decreto nº 4.553§ 1º São passíveis de classificaçãocomo ultra-secretos, dentreoutros, (...) cujo conhecimentonão autorizado possa acarretardano excepcionalmente grave à

segurança da sociedade e doEstado

Decreto nº 4.553§ 2º São passíveis de classificaçãocomo secretos, dentre outros,(...), cujo conhecimento não-autorizado possa acarretar danograve à segurança da sociedade edo Estado

Decreto nº 4.553§ 3º São passíveis de classificaçãocomo confidenciais dados ouinformações que, no interesse doPoder Executivo e das partes, devamser de conhecimento restrito e cujarevelação não-autorizada possafrustrar seus objetivos ou acarretardano à segurança da sociedade e doEstado

Decreto nº 4.553§ 4º São passíveis de classificaçãocomo reservados dados ouinformações cuja revelação nãoautorizada possa comprometerplanos, operações ou objetivosneles.

Matriz RACI

Matriz RACIR - (responsible), para os papéisresponsáveis pela execução dasatividades.

Matriz RACIA (accountable) para aqueles queprestam contas pela atividade, ouseja, que são responsáveis pelosresultados.

Matriz RACIC (consulted) para os papéis quesão consultados durante aexecução.

Matriz RACII (informed) para aqueles querecebem informações sobre osresultados alcançados.

Importante!A banalização torna a classificaçãodas informações sem efeito ecara.

Conceitos-Chave

Segurança da InformaçãoProf. Walter Cunha

Frases que se ouvem• “Isso não vai acontecer conosco”• “Já temos um firewall”• “Utilizamos os melhores sistemas”• “Ninguém vai descobrir isso a픕 “Testar para que, se está tudofuncionando?”

Frases que se ouvem• “Ninguém está interessado em nós”• “Dia 30 de Fevereiro a gente resolveisso, sem falta!”.

• “Qualquer coisa, nós temos o backup”.• “Segurança é com a TI”Top of Mind...

• Relaaaaaxa! A

Segurança da InformaçãoProteção contra um grande número deameaças às informações, de forma aassegurar a continuidade do negócio,minimizando danos comerciais emaximizando o retorno depossibilidades e investimentos.(ISO/IEC 17799:2000)

Os Porquês da SegInf• Entender a natureza dos ataques éfundamental

• Novas tecnologias trazem consigo novasvulnerabilidades

• Os ataques estão constante evolução• Aumento da conectividade resulta emnovas possibilidades de ataques

• A defesa é mais complexa que o ataque.

Requisitos de SegInf• Análise/avaliação de riscos para aorganização

• Legislação vigente, os estatutos, aregulamentação e as cláusulascontratuais

• Conjunto particular de princípios,objetivos e requisitos do negócio

AtivosTodo elemento que compõe osprocessos que manipulam eprocessam a informação, a contarda própria informação, o meio emque ela é armazenada, osequipamentos em que ela émanuseada, transportada edescartada.

Tipos de Ativos• Equipamentos• Aplicações• Usuários• Ambientes• Informações• Processos

VulnerabilidadeFalha no projeto, implementaçãoou configuração de um sistema(de informação) que, quandoexplorada por um atacante,resulta na violação da suasegurança.

VulnerabilidadeTradicionais:

• Descaso da Administração com osaspectos de segurança

• Falta de uma PSI ou PSI abandonada• Dispersão e conflito de esforços• Compartilhamento de Senhas/SenhasFracas*

VulnerabilidadeTradicionais:

• Falta de segurança de ambiente• Soluções frágeis e manjadas• Configurações incorretas/default• Desatualização (Software, Hardware ePessoal)

• Falta de cultura e de um ambiente deteste e simulação.

VulnerabilidadeTradicionais:

• Problemas de Estrutura (elétrica,vazamentos, poeira, etc)

• Falta de programas de conscientização(cartilhas, palestras, teatro, etc).

• Falta de um inventário de ativosconfiável

• Ausência de um processo disciplinarformal

VulnerabilidadeNovas:

• Modems 3G• Smartphones• Redes Sociais (Orkut, Blogs, etc)• WEB 2.0 – All over http• Computação em núvem/Virtualização• Terceirização• SOA

AmeaçaCausa potencial de um incidenteindesejado, que, caso seconcretize, pode resultar emdano.

RiscoPerigo, probabilidade oupossibilidade de ocorrência dedano.

R = Probalidade x Impacto

Importante!Diferente do PMBoK, naSegurança da Informação o riscoestá sempre atrelada a coisasruins que podem acontecer.

RiscoFatores de Risco:• A competitividade e a pressa nolançamento de novos produtos

• O alto nível de conectividade• O aumento do número potenciaisatacantes

• O avanço tecnológico, que resulta emnovas vulnerabilidades intrínsecas.

RiscoFatores de Risco:• O aumento da interação entreorganizações, resultando nos ambientescorporativos.

• A integração entre diferentes tecnologias,que multiplica as vulnerabilidades.

• A Era da Informação, na qual oconhecimento é o maior valor.

• A segurança representando a habilitaçãopara o negócio.

RiscoTratamento:• Evitar - Desviar• Aceitar – (Não) Pagar pra ver• Transferir (Seguro) – Nunca é total• Mitigar– A mitigação de riscos exige a redução daprobabilidade e/ou impacto de um eventode risco adverso até um limite aceitável.

Importante!Quem vai definir o orçamentoinvestido em segurança éjustamente o binômio: recursosdisponibilizados x tolerância aorisco.

AtaqueO ato de tentar desviar dos controlesde segurança de um sistema. Umataque pode ser ativo, tendo porresultado a alteração dos dados; oupassivo, tendo por resultado aliberação dos dados. O nível desucesso depende da vulnerabilidadedo sistema ou da atividade e daeficácia de contramedidas existentes.

Importante!O fato de um ataque estaracontecendo não significanecessariamente que ele terásucesso ou que você foi invadido.

EventoAcontecimento; noção de fato,ação ou processo; ponto noespaço-tempo provido de quatrodimensões; realização de possívelalternativa de um fenômenoprobabilístico.

IncidenteFato (evento) anômalo, porexemplo, decorrente da ação deuma ameaça, que explora uma oumais vulnerabilidades.

Dano/ImpactoOfensa material ou moral causadapor alguém a outrem, detentor deum bem juridicamente protegido.Estrago, deterioração, danificação,lesão, enfim, o famoso “preju”.

DesastreOcorrência de qualquer eventoque cause interrupção significantenas facilidades. Pode ser natural(“de força maior”) ou causado pelohomem (fortuito ou não).

Ameaças

Segurança da InformaçãoProf. Walter Cunha

Tipos de Ameaças• Naturais• Humanas• De Sistemas– E-mail– WEB– Malwares

Ameaças NaturaisAmeaças decorrentes de fatoresda natureza.

• Enchentes• Furacões• Terremotos• Tempestade eletromagnética

Importante!Negligêcia, imprudência eimperícia NÃO devem serconsideradas desastres naturais.

Ameaças Humanas

HackersUm hacker é um expert ouProblem Solver, aquele queapresenta soluções paraproblemas técnicos. São,geralmente, autodidatas.

Importante!“Hackear” é explorar, entender,testar os limites, encontrarproblemas e/ou novasfuncionalidades. Nãonecessariamente invadir.

HackersTipos:• White Hats• Black Hats• Gray Hats

CrackersTal como os Hackers, um Crackeré alguém que possuiconhecimentos avançados deinformática, mas usa essesconhecimentos para destruir os seaproveitar de sistemas e arquivosalheios.

PhreakerÉ o chamado cracker da eletrônicae telecomunicações, arranjamaneiras a fazer chamadas degraça.

Script KiddiesTermo depreciativo atribuído aosgrupos de crackers inexperientesque desenvolvem atividadesrelacionadas com segurança dainformação utilizando-se dotrabalho intelectual dosverdadeiros especialistas técnicos.

InsidersUsuários legítimos dos sistemasde informação. Funcionáriosinsatisfeitos ou simplesmentedesastrados.

Ameaças de E-mail

SPAME-Mail não solicitado, geralmente deconotação publicitária ou obscena.

SPIT– SPAM Over IP Telephony (VoIP)

SPIM– SPAM over Instant Messeger;SPORK– SPAM over Orkut.

CorrentesGeralmente pede para que ousuário (destinatário) repasse amensagem um determinadonúmero de vezes ou, ainda, "paratodos os amigos" ou "para todosque ama". Utilizada para coletare-mail válidos para ataques deSPAM posteriores.

ScammingTécnica que visa roubar senhas enúmeros de contas de clientesbancários enviando um e-mailfalso oferecendo um serviço(instituição financeira, governo,etc.)

HOAXBoatos, histórias falsas propagaspor e-mails.

Ameaças da WEB

CookiesSão pequenos arquivos que sãoinstalados em seu computadordurante a navegação, permitindo queos sites (servidores) obtenhamdeterminadas informações. É isto quepermite que a alguns sites ocumprimentem pelo nome, saibamquantas vezes você o visitou, etc.

PhishingSite fraudulento que se passa pelode uma instituição conhecida,como um banco, empresa ou sitepopular, e que procura induzirusuários ao fornecimento dedados pessoais e financeiros.

PharmingAtaque baseado que, consiste emcorromper o DNS em uma rede decomputadores, fazendo com que aURL de um site passe a apontarpara o IP de um servidor diferentedo original.

Ferramentas e Técnicas

CracksUm crack é um pequeno softwareusado para quebrar um sistemade segurança qualquer.

SniffersFerramenta constituída de umsoftware ou hardware capaz deinterceptar e registrar o tráfego dedados em uma rede decomputadores.

ExploitPrograma que permite explorarfalha de segurança de um sistemapara ter acesso não autorizado.

Scanners*Software que analisa o (software,computador, etc) em busca depossíveis vulnerabilidades.

WardrivingO termo wardriving foi escolhidopor Peter Shipley(http://www.dis.org/shipley/) parabatizar a atividade de dirigir umautomóvel à procura de redes semfio abertas, passíveis de invasão.

WarchalckingPrática de escrever em calçadas eparedes a giz (daí o nome, Guerrado Giz) o endereço de redes semfio desprotegidas, abertas para ouso de terceiros.

War DialerPrograma que varra númerostelefônicos em busca de modemou aparelhos de fax, que sãoposteriormente utilizados comoponto de ataque.

Easter EggUma mensagem, imagem ou somque o programador esconde emum software, como “brincadeira”.

Figerprint/FootprintRastrear e mapear as característicasdo sistema alvo (S.O., por exemplo) eassim familiarizar-se com asvulnerabilidades conhecidas,facilitando e otimizando um ataqueposterior. Este tipo de ataque podeser feito de varias maneiras entreestas maneiras pode ser agressivo oumais sutil.

TrapdoorsMecanismos escondidos em softwares,são falhas de programação geradapelo próprio Programador, para emum futuro, conseguir obter acesso eexplorar o sistema.

BotNetsRedes formadas por diversoscomputadores infectados com bots.Podem ser usadas em atividades denegação de serviço, esquemas defraude, envio de spam, etc.“Redes Zumbis”

Malwares

MalwareO Termo malware é provenientedo inglês malicious software; é umsoftware destinado a se infiltrarem um sistema de computadoralheio de forma ilícita, com ointuito de causar algum dano ouroubo de informações(confidenciais ou não).

Cavalo de TróiaPrograma que vem com uma"surpresa" escondidaintencionalmente peloprogramador, mas inesperadapara o usuário.

SpywarePrograma que recolhe ainformação sobre um usuário docomputador e transmite entãoesta informação a uma entidadeexterna sem o conhecimento ou oconsentimento informado dousuário.

KeyloggersProgramas que enviam parahackers, tudo o que é digitado noteclado. Permitem roubar senhas,logins, números de conta correntee cartões de crédito, endereços.

BackdoorsPode ser instalado tantopresencialmente comoremotamente, a distância. Suafunção abrir portas decomunicação sem o conhecimentodo usuário, para que atravésdelas, o mesmo sofra umainvasão ou um ataque.

NotaFoi provado que é possíveldecifrar a maior parte do que édigitado pela captação dos sonsproduzidos pela digitação noteclado.

VírusPrograma capaz de se inserir emoutros arquivos ou programas eusá-los para reproduzir-se,executar alguma tarefa etransmitir-se.

Vírus de BootAfetam o setor de boot do HDpara serem carregados sempreque o Sistema Operacional forcarregado.

Vírus de MacroAfetam os programas da Microsoftque são baseados em VBA (VisualBasic for Applications), como osdocumentos do Microsoft Office(.DOC, .XLS)

Vírus de ExecutávelAfetam os arquivos executáveis,como os que têm extensão.EXE ou.COM

Vírus StealthEscondem-se do Antivírus (porexemplo, como BAD BLOCKS -falhas no Disco).

Vírus PolimórficosMudam de “assinatura” (código) acada infecção para dificultar adetecção.

WormPrograma auto-replicante,semelhante a um vírus. O vírusinfecta um programa e necessitadeste programa hospedeiro parase propagar, o worm é umprograma completo e não precisade outro programa para sepropagar. (Não é vírus)

Ataques

AtaqueAto de tentar danificar um sistemaou burlar as barreiras desegurança deste. Um ataque podeser ativo, tendo por resultado aalteração dos dados; ou passivo,tendo por resultado a liberaçãodos dados.

Denial Of Service Tentativa de tornar os recursos deum sistema indisponíveis paraseus utilizadores. Não é umataque específico, mas um tipo deataque.

SpoofingConsiste em falsificar algum

atributo de identificação (spoof) doemissor.Ex:• IP Spoofing• MAC Spoofing

HijackingConsiste em tomar conta de umaligação ou sessão existente,passando por cima daautenticação.

Ping FloodEnvio de uma seqüência demensagens ICMP ao host alvo,que ocupa-se em responder atodas, consumindodesnecessariamente recursos.

PongEnvio de mensagens ICMP a umnúmero grande de hosts,normalmente endereçados embroadcast. Nas mensagens, oendereço de resposta informado é oendereço do alvo. Quando todosrespondem, alvo recebe uma grandequantidade de mensagens ICMPsimultaneamente.

SmurfAmplia o número de hosts queenviarão mensagens ICMP ao alvopelo envio da requisição falsa nãoapenas a um mas a váriosendereços de broadcast.

FraggleO Fraggle é o “primo”do Smurfque utiliza pacotes UDP echo, emvez de pacotes ICMP echo.

Ping da MorteConsiste em enviar um comandoping com um pacote de dadosmaior que o máximo permitido(64 KB). Isso causa o travamentoou a reinicialização da máquinaatacada.

SYN FloodAtaque de negação de serviço queconsiste no envio de uma longasérie de segmentos TCP SYN(pedidos de conexão) para umhost, porém sem o envio desegmentos TCP ACK paraconfirmação do estabelecimentoda conexão.

TeardropBots enviam pedaços de umpacote legítimo; o sistema-vítimatenta recombinar os pedaçosdentro de um pacote e, comoresultado, é derrubado.

LANDNo ataque LAND o invasor emitepacotes de requisição de conexãocom endereços IPs de origem edestino iguais é um dos maisconhecidos.

NukeÉ o tipo de ataque dos maisconhecidos. Ele funciona enviandopacotes ICMP para um alvo quecontém um cabeçalho defeituosopara um alvo e, dessa forma, eleinduz a máquina alvo a um errode reconhecimento de host

Buffer OverflowOcorre quando o programa recebe maisdados do que está preparado paraarmazenar no buffer. Se o programa nãofoi adequadamente escrito, este excessode dados pode acabar sendo armazenadoem áreas de memória próximas,corrompendo dados ou travando oprograma, ou mesmo ser executada, que éa possibilidade mais perigosa.

SQL InjectionMétodo utilizado para inserir, apagar,editar, entre várias outras funções SQL emataques a banco de dados através deformulários do tipo texto e password, ondeo atacante poderá inserir um usuário emsua tabela do banco de dados, dando-opermissão para acessar todo o sistema oupor exemplo, apagar todos os dadoscontidos nela.

Parasitismo O invasor pode ter simplesmente operverso objetivo de usar a sua rede comoum ponto de acesso gratuito à Internet.Apesar de não ser tão prejudicial quantoalgumas das outras ameaças, oparasitismo poderá, no mínimo, reduzir onível de serviço disponível para seususuários legítimos, além de introduzir víruse outras ameaças.

Engenharia SocialMétodo de ataque onde umapessoa faz uso da persuasão,muitas vezes abusando daingenuidade ou confiança dousuário, para obter informaçõesque podem ser utilizadas para teracesso não autorizado acomputadores ou informações.

Fim da Parte I