técnico em redes de computadores 3º módulo jacson tiola › 2011 › 06 › segredes... ·...
TRANSCRIPT
Segurança da Informação
Técnico em Redes de Computadores
3º Módulo
Jacson Tiola
PARTE 1
A InformaçãoA Informação
Informação Informação (Michaelis)
do Lat. informatione
s. f.,Ato ou efeito de informar ou informar-se;Comunicação;Conjunto de conhecimentos sobre alguém ou alguma coisa;Conhecimentos obtidos por alguém;Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens;Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.
PropriedadePropriedade (Michealis)
do Lat. proprietate
s. f.,Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno;Bens, posses;Patrimônio físico(tangível) e imaterial(intangível).
ConsideraçãoConsideração
E quando o patrimônio é a informação?
Considerações Segundo a Universidade da
Califórnia em Berkeley(2005): Existe aproximadamente 2.5 Bilhões
de documentos acessíveis na WEB; Este número cresce em cerca de 700
mil páginas por dia. Velhos jargões
“O segredo é a alma do negócio”; Novas tendências
Mundo Globalizado, Ubiqüidade, Acesso a Informação.
PARTE 2
ConceitosConceitos
Axioma de Segurança
““Uma corrente não é mais Uma corrente não é mais forte que o seu elo mais forte que o seu elo mais
fraco”fraco”
Motivação Notícias de 2011 (Fonte: Folha de São Paulo)
03/05 - Sony alerta que mais 24,6 milhões de contas tiveram dados roubados
01/02 - Ataque virtual usa "BBB 11" para roubar dados 01/02 - Procon vai notificar LG sobre vazamento de
dados dos clientes 28/01 - FBI documenta ciberataques relacionados ao
Wikileaks 27/01 - Cinco hackers que apoiam o WikiLeaks são
presos no Reino Unido 26/01 - Primeiro vírus de computador completa 25 anos 26/01 - Cem usuários dominam dois terços da pirataria
virtual, diz pesquisa 24/01 - Crimes pela internet estão em alta, diz empresa
de segurança
Segurança da Informação
“A segurança da informação é um conjunto de medidas que se constituem basicamente de controlescontroles e política de segurançapolítica de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bensativos/bens), controlando o riscorisco de revelação ou alteração por pessoas não autorizadas.”
Política de Segurança
Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação
Ativos (Bens)
Dados Número de
Cartões de Crédito Planos de
Marketing Códigos Fonte Informações de
RHServiços Web sites Acesso a
Internet Controladores
de Domínio ERP
Comunicação Logins Transação Financeira Correio Eletrônico
DefiniçõesDefinições AmeaçaAmeaça
Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recursorecurso;
VulnerabilidadeVulnerabilidade Característica de fraqueza de um bem; Características de modificação e de
captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.
Conceitos BásicosConceitos Básicos
RiscoRisco A probabilidadeprobabilidade da ocorrência de
uma ameaça em particular A probabilidadeprobabilidade que uma ameaça
explore uma determinada vulnerabilidade de um recurso
Ameaça, Vulnerabilidade e Risco Ameaça (evento)
assalto a uma agência bancária Vulnerabilidade (ponto falho)
liberação manual das portas giratórias pelos vigilantes
Risco baixobaixo, devido ao percentual de
assaltos versus o universo de agências
altoalto, se comparando as tentativas frustradas versus as bem sucedidas
Conceitos Fundamentais
Princípios da Segurança
ConfidencialidadeConfidencialidade
IntegridadeIntegridade DisponibilidadeDisponibilidade((AAvailability)vailability)
SegurançaSegurança
CIA – ConfidencialidadeCIA – Confidencialidade
Propriedade de manter a informação a salvo de acesso e divulgação não autorizadosnão autorizados;
Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo pelo donodono da informação, ou seja, as informações e processos são liberados apenas a pessoas pessoas autorizadasautorizadas.
CIA CIA –– Integridade Integridade
Propriedade de manter a informação acurada, completa e atualizada
Princípio de segurança da informação através do qual é garantida a autenticidadeautenticidade da informação
O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico
CIA – Disponibilidade CIA – Disponibilidade (Availability)(Availability)
Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem
Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente
Princípios AuxiliaresPrincípios Auxiliares
Au
di to
ria
Aut
en
tica
ção
Aut
oriz
açã
o
Iden
ti fic
açã
oS
igilo
Vias-O que Sou-O que Sei-O que Tenho
Controle de Acesso
Controle de AcessoControle de Acesso
Suporta os princípios da CIA São mecanismos que limitam o
acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.
Em segurança, é suportado pela tríade AAA (definida na RFC 3127)
Auditoria (Accountability)Auditoria (Accountability)
É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;
Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.
AutenticaçãoAutenticação
Propriedade de confirmar a identidade de uma pessoa ou entidade.
Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser
AutorizaçãoAutorização São os direitos ou permissões,
concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.
Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.
SigiloSigilo Trata-se do nível de confidencialidade
e garantia de privacidade de um usuário no sistema;
Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema.
IdentificaçãoIdentificação Meio pelo qual o usuário apresenta
sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização.
Mecanismos de Controle de Acesso
PARTE 3
Onde Começar ?Onde Começar ?
Leis Imutáveis da Segurança Ninguém acredita que nada de mal possa
acontecer até que acontece; Segurança só funciona se a forma de se manter
seguro for uma forma simples; Se você não realiza as correções de segurança,
sua rede não será sua por muito tempo; Vigilância eterna é o preço da segurança; Segurança por Obscuridade, não é segurança; LOGs, se não auditá-los, melhor não tê-los.
Leis Imutáveis da Segurança Existe realmente alguém tentando
quebrar (adivinhar) sua senha; A rede mais segura é uma rede bem
administrada; A dificuldade de defender uma rede é
diretamente proporcional a sua complexidade;
Segurança não se propõe a evitar os riscos, e sim gerenciá-los;
Tecnologia não é tudo.
By Scott Pulp – Security Program Manager at By Scott Pulp – Security Program Manager at Microsoft Security Response CenterMicrosoft Security Response Center
Responsabilidades da Empresa “Desde que uma empresa
fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas”
Corporate Politics on the Internet: Connection with Controversy, 1996
Segurança nas Organizações Segurança é um ”processo” que tenta
manter protegido um sistema complexo composto de muitas entidades: Tecnologia (hardware, software, redes) Processos (procedimentos, manuais) Pessoas (cultura, conhecimento)
Estas entidades interagem das formas mais variadas e imprevisíveis
A Segurança falhará se focar apenas em parte do problema
Tecnologia não é nem o problema inteiro, nem a solução inteira
Ciclo de Segurança
1.Análise da Segurança (Risk Assessment)
2.Definição e Atualização de Regras de Segurança (Política de Segurança)
3.Implementação e Divulgação das Regras de Segurança (Implementação)
4.Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)
5.Auditorias (Verificação do Cumprimento da Política)
Ameaças DigitaisAmeaças Digitais
Ataques Geralmente divididos nos seguintes tipos:
Pelo alvo geral do ataque (aplicações, redes ou misto)
Se o ataque é ativo ou passivo Pelo mecanismo de ataque (quebra de senha,
exploração de código, ...) Ataques Ativos
DoS, DDoS, buffer overflow, inundação de SYN Ataques Passívos
Pesquisa de vulnerabilidade, sniffing, ... Ataques de Senha
Força bruta, Dicionário, “hackish”, Rainbow Tables Código malicioso (malware)
Vírus, trojans, worms, ...
Ataques Ativos DoS/DDoS
Reduzir a qualidade de serviço a níveis intoleráveis
Tanto mais difícil quanto maior for a infra-estrutura do alvo
Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado
“Zombies” e Mestres (Masters), ataque smurf BOTs e BOTNets, ataques “massificados” por
banda larga Tipos
Consumo de Recursos (largura de banda, cpu, RAM, ...) Pacotes malformados (todas as flags ligadas)
Ataques Ativos (cont.) Buffer Overflow
Sobrescrever o próprio código em execução
“Shell code”, escrito em assembler Tem como objetivo executar algum código,
ou conseguir acesso privilegiado
Ataques SYN Fragilidade nativa do TCP/IP Conexão de 3-vias (Syn, Syn-Ack, Ack)
Spoofing Se fazer passar por outro ativo da rede MITM (Man-In-The-Middle)
Dsniff
Ataques Ativos (Cont.) Lixeiros
Documentos sensíveis mal descartados Informações em hardwares obsoletos Falta de Política de Classificação da Informação
Engenharia social Kevin Mitnick Normalmente relevada nos esquemas de segurança Utiliza-se do orgulho e necessidade de auto-
reconhecimento, intrínseco do ser humano
““Um computador não estará seguro nem Um computador não estará seguro nem quando desligado e trancado em uma sala, quando desligado e trancado em uma sala,
pois mesmo assim alguém pode ser instruído pois mesmo assim alguém pode ser instruído a ligá-lo.”a ligá-lo.”
[ Kevin Mitnick – A arte de enganar/The Art of Deception ]
Ataques ativos por código malicioso
Malware MALicious softWARE Não apenas Spyware ou Adware “Payload” Vs Vetor
Vírus Auto replicante Interfere com hardware, sistemas
operacionais e aplicações Desenvolvidos para se replicar e iludir
detecção Precisa ser executado para ser
ativado
Ataques ativos por código malicioso (cont)
Cavalos de Tróia (Trojans) Código malicioso escondido em uma aplicação
aparentemente legítma (um jogo por exemplo) Fica dormente até ser ativado Muito comum em programas de gerência remota
(BO e NetBus) Não se auto replica e precisa ser executado
Bombas Lógicas Caindo em desuso pela utilização de segurança no
desenvolvimento Aguarda uma condição ser atingída Chernobyl, como exemplo famoso (26, Abril)
Ataques ativos por código malicioso (cont)
Worms Auto replicante, mas sem alteração de
arquivos Praticamente imperceptíveis até que
todo o recurso disponível seja consumido
Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede
Não necessita de ponto de execução Se multiplica em proporção geométrica Exemplos famosos:
LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...
Ataques ativos por código malicioso (cont)
Back Door Trojan, root kits e programas legítmos
VNC, PCAnyware, DameWare SubSeven, Th0rnkit
Provê acesso não autenticado a um sistema
Rootkit Coleção de ferramentas que possibilitam a
criação “on-demand” de backdoors Modificam rotinas de checagem dos sistemas
operacionais comprometidos para impedir detecção
Iniciam no boot junto com os processos do sistema
Ataques Passívos Normalmente utilizado antes de um ataque
ativo Pesquisa de Vulnerabilidades
Pesquisa por Portas/Serviços http://www.insecure.org – Nmap
Escuta (sniffing) Extremamente difícil detecção Não provoca ruído sensível Senhas em texto claro, comunicações não
encriptadas Redes compartilhadas Vs comutadas
Switch Vs Hub WireShark (Lin/Win), TCPDump (Lin)
http://www.wireshark.org http://www.tcpdump.org
Ataques Passívos (cont) Ataques de Senha
Muito comuns pela facilidade de execução e taxa de sucesso Cain&Abel, LC5, John The Ripper, ...
Compara Hash’s, não texto Força Bruta
Teste de todos os caracteres possíveis Taxa de 5 a 6 Milhões de testes/seg, em um
P4 Ataques de Dicionário
Reduz sensivelmente o tempo de quebra Já testa modificado para estilo “hackish”
B4n4n4, C@73dr@l, P1p0c@, R007, ... Rainbow Tables
Princípio Time Memory Trade-off (TMTO)