segurança da informação - sistemas

8/12/2019 Segurana da Informao - Sistemas

1/71

Segurana da

InformaoAIRTON BORDIN JUNIOR


2/71

Ementa da disciplina

Introduo; Conceitos;

Ameaas, Vulnerabilidades, Riscos, Ataques;

Normas NBR ISO/IEC 17799 e 27002;

Fundamentos de criptografia;

Autenticao; Controles de Acesso;

Auditoria;

Rede Privada Virtual VPN;

Polticas de Segurana.


3/71

Bibliografia bsica

MAZIERO, C. A. Sistemas Operacionais: Conceitos mecanismos. Aspectos de Segurana;

CARVALHO, L. G. Segurana de Redes;

FERREIRA, F. N. F., ARAUJO, M. T. Poltica dsegurana da Informao. Guia prtico par

elaborao e implementao; ASSOCIAO BRASILEIRA DE NORMAS TCNICAS

ABNT NBR ISO/IEC 27002:2006. Tecnologia dInformao Cdigo de Prticas para Gesto dSegurana da Informao


4/71

Introduo


5/71

Introduo

Segurana de um sistema de computao

Garantia de propriedades fundamentaassociadas s informaes e recursos presentes nsistema.

Informao: todos os recursos disponveis nsistema, como registros de bancos de dadoarquivos, reas de memria, portas dentrada/sada, conexes de rede, configuraeetc.


6/71

Introduo

Propriedades e princpios de segurana

Confidencialidade;

Integridade;

Disponibilidade;

Autenticidade;

Irretratabilidade.


7/71

Introduo

funo do Sistema Operacional garantir manuteno das propriedades de segurana partodos os recursos sob sua responsabilidade;

Alm das tcnicas usuais de Engenharia de Softwarpara a produo de sistemas corretos, a constru

de sistemas seguros pautada por uma srie dprincpios.


8/71

Conceitos bsicos


9/71

Princpios para a construo desistemas seguros

Privilgio mnimo; Mediao completa;

Default seguro;

Economia de mecanismo;

Separao de privilgios;

Compartilhamento mnimo;

Projeto aberto;

Proteo adequada;

Facilidade de uso;

Eficincia;

Elo mais fraco;


10/71

Ameaas

Ameaas confidencialidade Processo vasculhar reas de memrias de outros processo

arquivos de outros usurios, trfego de rede nas interfacelocais, senhas, emails privados, etc.

Ameaas integridade Processo alterar as senhas de outros usurios, instala

programas, driversou mdulos de ncleo maliciosos, visandobter o controle do sistema, roubar informaes, impedacesso de outros usurios.

Ameaas disponibilidade Usurio alocar para si todos os recursos do sistema par

impedir que outros usurios possam utiliz-lo.


11/71

Vulnerabilidades

Defeito ou problema na especificaoimplementao, configurao ou operao de umsoftware ou sistema que possa ser explorado parviolar as propriedades de segurana.

Erro de programao

Buffer/stack overflow. Conta de usurio sem senha ou com senha padro;

Ausncia de quotas de disco;

Etc.


12/71

Buffer overflow


13/71

Ataques

Ato de utilizar/explorar umavulnerabilidade para violar umapropriedade de segurana do sistema Interrupo;

Interceptao;Modificao;

Fabricao.

Os ataques podem ser ativos ou passivos.


14/71

Ataques


15/71

Ataques

DoS Denial of Service; Fork Bomb:


16/71

Malwares

Todo programa cuja inteno realizar atividades ilcitas, comataques, roubo de informaes, intruses, etc.

Vrus;

Worm;

Trojan horse;

Exploit;

Packet Sniffer;

Keylogger;

Rootkit;

Backdoor.


17/71

Malwares - Vrus

Trecho de cdigo que se infiltra em programaexecutveis existentes no Sistema Operacional, usandoos como suporte para execuo e replicao;

O vrus depende da execuo do arquivo hospedeirpara que possa se tornar ativo e continuar o processde infeco;

Alguns tipos de vrus so programados utilizando macrode aplicaes complexas, e usam os arquivos de dadodessas aplicaes como suporte. Outros usam cdigde inicializao dos discos e outras mdias comsuporte.


18/71

Malwares - Worm

Programa autnomo que se propaga seminfectar outros programas;

A maioria dos worms se propaga explorandvulnerabilidades nos servios de rede parinstalar-se em sistemas remotos;

Alguns worms utilizam o sistema de email comvetor de propagao, enquanto outros utilizammecanismos de auto-execuo de mdiaremovveis (pendrives).


19/71

Malwares - Worm


20/71

Malwares Trojan Horse

Programa com duas funcionalidades: Uma lcite conhecida, outra ilcita e desconhecida que executada sem que o usurio perceba;

Muitos Trojan Horses so utilizados como baspara a instalao de outros malwares, como worm happy99.


21/71

Malwares - Exploit

Programa escrito para exploravulnerabilidades conhecidas, como provade conceito ou como parte de umataque;

Exploits podem estar incorporados aoutros malwares ou constituremferramentas autnomas, usadas emataques manuais.


22/71

Malwares Packet Sniffer

Captura pacotes de rede do computadolocal ou da rede local, analisa e buscainformaes relevantes como loginssenhas, etc;


23/71

Malwares Keylogger

Dedicado a capturar e analisainformaes digitadas pelo usuriolocal do computador, sem seuconhecimento;

As informaes podem setransferidas a um computadoremoto de acordo com necessidadee possibilidade.


24/71

Malwares Rootkit

Conjunto de programas destinado aocultar a presena de um intruso noSistema Operacional;

Modifica os mecanismos do SistemaOperacional que mostram oprocessos em execuo, arquivonos discos, portas e conexes, etc.


25/71

Malwares Backdoor

Programa que facilita a entradaposterior do atacante em um sistema

j invadido;

Geralmente criado atravs de umprocesso servidor de conexeremotas (SSH, Telnet, etc).


26/71

Infraestrutura de segurana

Base Computacional: conjunto de todos oelementos de hardware e softwarconsiderados crticos para a segurana de umsistema;

Sistema Operacional emprega vrias tcnica

complementares para garantir a segurana: Autenticao;

Controle de acesso;

Auditoria.


27/71

Infraestrutura de segurana


28/71

POSIO SENHA1 123456

2 PASSWORD

3 12345678

4 QWERTY

5 ABC123

6 123456789

7 1111118 1234567

9 ILOVEYOU

10 ADOBE123

11 123123

12 ADMIN

Autenticao - Senhas mais comun


29/71

Controle de acesso

Polticas de controle de acesso aos sistemas; Diferentes tipos de usurios com diferentes permisses.


30/71

Auditoria

Anlise dos dados e transaes do sistema e usurios; Realizada aps uma determinada transao;

Alguns sistemas j so construdos com sistemas de logs pafacilitar a auditoria.


31/71

Fundamentos de

Criptografia


32/71

Criptografia

Usadas na segurana de sistemas para garanta CONFIDENCIALIDADE e INTEGRIDADE dodados;

Desempenham papel importante na autenticao dusurios e recursos;

Kryptos (oculto, secreto) + grafos (escrever); Foi criada para codificar informaes, de forma qu

somente pessoas autorizadas pudessem acessar secontedo.


33/71

Criptografia

Conceitos fundamentais:Texto aberto: mensagem o

informao a ocultar;Texto cifrado: informao codificada

Cifrador: mecanismo responsvel pocifrar/decifrar as informaes;Chaves: so necessrias para pode

cifrar ou decifrar as informaes.


34/71

Criptografia - Scytale

Esparta, 400 a.C.


35/71

Criptografia Cifrador de Cesar

Cifrador de Cesar Usado pelo imperador Jlio Csar para se comunicar com se

generais;

Cada caractere substitudo pelo k-simo caractere sucessivo nalfabeto;

Exemplo: Se k=2, a letra A substituda por C.


36/71

Criptografia Cifrador de Cesar

Para decifrar uma mensagem no cifrador dCsar, necessrio conhecer:

A mensagem cifrada;

O valor de k (chave criptogrfica).

Nesse caso, se o usurio no conhecer o valode k, pode tentar quebrar a criptografiusando FORA BRUTA Nesse caso h soment26 valores possveis para k.


37/71

Criptografia

O nmero de chaves possveis para um algoritmo de cifragem conhecido como ESPAO DE CHAVES;

O segredo no est no algoritmo e sim no tamanho do espao dchaves;

Exemplo: Algoritmo AES (Advanced Encryption Standart). Algoritmsimples, mas tamanho de chaves com muitas possibilidades:

2^128possibilidades de chaves; 340.282.366.920.938.463.463.374.607.431.768.211.456chaves diferentes

Com 1 bilho de anlises de chaves por segundo, levariam 1sextilhes de anos para testar todas as chaves;

Caso Daniel Dantas Criptografia AES de 256 bits.


38/71

C i t fi


39/71

Criptografia

De acordo com a chaveutilizada, os algoritmos decriptografia podem se dividir em

dois grandes grupos:Algoritmos simtricos;

Algoritmos assimtricos.

Al it i t i


40/71

Algoritmos simtricos

A mesma chave k utilizada para cifrar a informao deve ser usadpara decifrar a mesma.

Cifrador de C DES; AES; etc.


41/71

Al it i t i


42/71

Algoritmos assimtricos

Usam um par de chaves complementares: Chave pblica (kp);

Chave privada (kv).

Uma informao cifrada com uma chave pblica s poder sdecifrada com uma chave privada correspondente, e vice-versa;

Para cada chave pblica h uma chave privada correspondent

e vice-versa; No possvel calcular uma das chaves a partir da outra;

Geralmente, chaves pblicas so amplamente conhecidas divulgadas, enquanto as chaves privadas so mantidas esegredo pelos proprietrios.

Al it i t i


43/71

Algoritmos assimtricos


44/71


45/71

Autenticao


46/71

Autenticao

Consiste em identificar as diversas entidades de um sistemcomputacional;

Atravs da autenticao, o usurio interessado em acessar sistema comprova que realmente quem afirma ser;

Inicialmente a autenticao buscava apenas identificar usuriodevidamente credenciados para acessar o sistema;

Atualmente, em muitas circunstncias, tambm necessrio oposto: Identificar um sistema para o usurio, ou mesmo sistemaentre si:

Banco via Internet, certificado;

Drivers, fonte confivel.

Usurios e grupos


47/71

Usurios e grupos

A autenticao geralmente o primeiro passo no acesso de usistema;

Caso a autenticao do usurio seja realizada com sucesso, scriados processos para representar o mesmo no sistema: sesso dusurio;

Cada processo deve ser associado ao seu respectivo usuratravs de um Identificador de Usurio (UID User IDentifier);

Cada grupo identificado atravs de um Identificador de grupo(GID Group IDentifier).

Tcnicas de autenticao


48/71

Tcnicas de autenticao

SYK Something You Know (Algo que voc sabe)

Tcnicas baseadas em informaes conhecidas pelo usurio, como loginsenha. So consideradas fracas, pois a informao necessria paautenticao pode ser facilmente comunicada ou roubada.

SYH Something You Have (Algo que voc tem)

Tcnicas baseadas na posse de alguma informao mais complexa, comum certificado digital, chave criptogrfica, ou algum dispositivo materia

como umsmartcard, carto magntico, etc. Embora mais robustas que tcnicas SYK, tambm podem ser roubados e copiados;

SYA Something You Are (Algo que voc )

Baseiam-se em caractersticas intrinsicamente associadas ao usurio, comseus dados biomtricos: impresso digital, padro de riz, voz, etc.

Senhas


49/71

Senhas

A grande maioria dos sistemas implementam a tcnica dautenticao SYK baseada em login e senha;


50/71


51/71

Senhas


52/71

Senhas

Senhas descartveis


53/71

Senhas descartveis

Um problema importante com relao a autenticao utilizandsenhas est no risco de roubo da mesma;

Por ser uma informao esttica, caso seja roubada, um usurmal intencionado poder us-la enquanto o roubo no fpercebido. Para evitar isso, so utilizadas senhas descartveis. Podser produzida de algumas formas:

Armazenar uma lista de senhas no sistema e fornecer ao usurio e

papel ou outro material. Quando uma senha for usada com sucesso,usurio e o sistema eliminam da lista;

Gerar senhas temporrias sob demanda atravs de dispositivo osoftware externo usado pelo cliente.

Senhas descartveis


54/71

Senhas descartveis

Tcnicas biomtricas


55/71

Tcnicas biomtricas

Consiste em usar caractersticas fsicas ou comportamentais de uindivduo, como suas impresses digitais ou timbre de voz, paridentifica-lo UNICAMENTE no sistema;

As caractersticas utilizadas devem obedecer a um conjunto dprincpios:

Universalidade: deve estar presente em todos os indivduos que possavir a ser autenticados;

Singularidade: dois indivduos quaisquer devem apresentar valordistintos para a caractersticas;

Permanncia: a caracterstica no deve mudar ao longo do tempo, amenos no de forma abrupta;

Mensurabilidade: deve ser facilmente mensurvel em termquantitativos.

Tcnicas biomtricas


56/71

Tcnicas biomtricas

As caractersticas podem ser: fsicas ou comportamentais;

Fsicas:

DNA;

Geometria das mos/rosto/orelhas;

Impresses digitais;

Padro da ris/retina.

Comportamentais:

Assinatura;

Padro de voz;

Dinmica de digitao.

Tcnicas biomtricas


57/71

Tcnicas biomtricas

Sistema biomtrico tpico


58/71

Sistema biomtrico tpico


59/71

Controle de

acesso

Controle de acesso


60/71

Controle de acesso

Em um sistema computacional, consiste em mediar cadsolicitao de acesso de um usurio autenticado a um recurso odado mantido pelo sistema;

Determina se uma solicitao deve ser autorizada ou negada.

Praticamente todos os recursos de um sistema operacional estsubmetidos a um controle de acesso

Arquivos;

reas de memria;

Portas de rede;

Dispositivos de I/O;

Etc.

Controle de acesso


61/71

Co o e de acesso

comum classificar as entidades de um sistema em 2 grupos:

Sujeitos;

Objetos.

Sujeitos

Todas as entidades que exercem um papel ativo no sistema, comprocessos, threads ou transaes.

Objetos Entidades passivas utilizadas pelos sujeitos, como arquivos, reas d

memria, registro em banco de dados.

Polticas, modelos e mecanismos


62/71

,

Poltica de controle de acesso:

Viso abstrata das possibilidades de acesso a recursos (objetos) pelusurios (sujeitos) de um sistema;

Conjunto de regras definindo os acessos possveis aos recursos dsistema e eventuais condies para a permisso de acesso;



63/71

,

As regras ou definies individuais de uma poltica sdenominadas AUTORIZAES; As autorizaes podem ser baseadas em IDENTIDADES (sujeitos o

objetos) e em outros ATRIBUTOS (sexo, tipo, preo, idade);

As autorizaes podem ser INDIVIDUAIS ou COLETIVAS;

Podem ser tambm POSITIVAS (permitindo o acesso) e NEGATIVAS;

Pode ter autorizaes dependentes de CONDIES EXTERNAS (tempcarga do sistema).

Alm disso, deve ser definida uma POLTICA ADMINISTRATIVA, qudefine quem pode modificar e/ou gerenciar as polticas vigenteno sistema.



64/71

O conjunto de autorizaes de uma poltica devem:

Ser completos;

Ser consistentes;

Respeitar o princpio de privilgio mnimo

Usurio jamais deve receber mais autorizaes do que aquelas qnecessita para cumprir sua tarefa.

Existem algumas formas para definir-se uma poltica: Polticas discricionrias;

Polticas obrigatrias;

Polticas baseadas em domnios;

Polticas baseadas em papis.

Polticas discricionrias


65/71

Baseiam-se na atribuio de permisses de forma individualizada;

Pode-se claramente conceder ou negar a um sujeito especfico Sa permisso de executar a ao A sobre um objeto especficO;

Polticas discricionrias - Matriz de


66/71

controle de acesso

Controle matemtico mais simples e convenientpara representar polticas discriminatrias

Embora seja um bom modelo conceitual, a matrde acesso inadequada para implementao;

Em um sistema real, com milhares de usurios

objetos, a matriz pode se tornar gigantesca consumir muito espao

Polticas discricionrias - Matriz de


67/71

controle de acesso Controle matemtico mais simples e convenient

para representar polticas discriminatrias

Embora seja um bom modelo conceitual, a matrde acesso inadequada para implementao;

Em um sistema real, com milhares de usurios

objetos, a matriz pode se tornar gigantesca consumir muito espao

Polticas discricionrias - Tabela de


68/71

autorizaes As entradas no-vazias da matriz so relacionadas em uma tabe

com trs colunas: sujeitos;

objetos;

aes.

Polticas discricionrias - Tabela de


69/71

autorizaes As entradas no-vazias da matriz so relacionadas em uma tabe

com trs colunas: sujeitos;

objetos;

aes.

Polticas discricionrias Lista de


70/71

controles de acesso Para cada objeto definida uma lista de controle de acesso (ACL

Contm a relao de sujeitos e respectivas permisses.

Polticas obrigatrias


71/71

O controle de acesso definido por regras globais incontornve

que no dependem das identidades dos sujeitos e objetos nem dvontade de seus proprietrios ou mesmo do administrador dsistema;

Umas das formas mais comuns de poltica obrigatria so apolticas multi-nvel, que baseiam-se na classificao de sujeitos objetos em nveis de segurana. Exemplo governo britnico:

segurança da informação - sistemas

Documents