Segurança da Informação

FUNDAMENTOS

Para prevenir ameaças ou recuperar um ecossistema após um incidente, a segurança da informação se baseia em técnicas e tecnologias que estão contidas em três pilares ditos como princípios fundamentais. São conhecidos como AIC (Availability, Integrity, Confidentiality) ou CID em português:

- Disponibilidade;

- Integridade;

- Confidencialidade;

Disponibilidade: (Availability)

A proteção por Disponibilidade assegura confiabilidade e acesso oportuno aos dados e recursos para pessoas autorizadas. Os dispositivos de rede, computadores e as aplicações devem fornecer uma funcionalidade e nível de desempenho adequadas e previsíveis, além de serem capazes de se recuperar de interrupções ou rupturas, de maneira rápida e segura, não afetando negativamente a produtividade.

De maneira geral, é garantir que a informação esteja disponível para o usuário e para o sistema de informação.

Ex.: Se o site do Submarino, que é uma grande empresa de venda de comércio eletrônico, é atacado e fica fora do ar por 24 horas, o prejuízo dessa empresa, por causa da indisponibilidade do sistema, será muito grande. Nesse caso, a Disponibilidade é um fator crítico para essa empresa.

Algumas ferramentas que podem garantir a disponibilidade: Nobreak, Firewall e o Backup.

Integridade:

Existe integridade quando há garantia da precisão e a confiabilidade das informações fornecidas e quaisquer modificações não autorizadas são impedidas. Os sistemas e as redes devem estar livres de interferências externas, assim como esses ambientes devem garantir que ataques ou erros de usuários não comprometam a integridade do sistema e dos dados, garantindo a ponte de todas as comunicações - entre usuários, unidades organizacionais e públicos externos – aconteçam de forma correta.

Algumas ferramentas que podem garantir a Integridade:

- Assinatura digital: Quando o usuário assina digitalmente o documento, quaisquer alterações que forem feitas violará a assinatura. Para isso, precisará ser assinado novamente.

- Backup: a completude faz parte do Backup. Quanto alguma informação se corrompe, o uso do backup poderá restaurar a informação.

Confidencialidade:

É a garantia de ter um nível de sigilo aplicado a cada processamento de dado e prevenir o vazamento ou a revelação não autorizada desses dados. Está diretamente ligado a privacidade de informações dos usuários.

A informação deve ser acessada somente por usuários com a devida autorização ou direito.

Algumas ferramentas que podem garantir a Confidencialidade: Criptografia.

Equilíbrio entre os três

As ameaças de integridade e disponibilidade podem ser negligenciadas e tratadas apenas depois de estarem devidamente comprometidas. Alguns ativos têm um requisito crítico de confidencialidade, alguns têm requisitos críticos de disponibilidade. Muitas pessoas entendem os conceitos da tríade da CID, mas podem não apreciar totalmente a complexidade de implementar os controles necessários para fornecer toda a proteção que esses conceitos cobrem.

- Segurança da informação não está somente ligada a ataques cibernéticos, mas a procedimentos e comportamentos que evitam das informações e dados ficarem vulneráveis.

Alguns autores utilizam também a Autenticidade.

Autenticidade:

Garante a veracidade da autoria de determinada informação. Garante a autoria de quem produziu a informação, mas não garante a veracidade da informação. A Autenticidade também garante o “não repúdio”, ou seja, significa que o autor da informação não tem a possibilidade de recusar a sua autoria. É a incapacidade da negação da autoria.

Algumas ferramentas para autenticidade:

- Biometria: Verifica as características físicas da pessoa para certificar e identificar unicamente ela.

Assinatura Digital;

- Certificados Digitais: garantem a autenticidade da autoria dos sites.

DEFINIÇÕES DE SEGURANÇA

Ativos

São elementos que sustentam a operação do negócio. Podem ser classificados como:

- Tangíveis: informações impressas, hardware, móveis (impressora, scanners, etc);

- Intangíveis: marca de um produto, nome de empresa, confiabilidade de um órgão, etc;

- Lógicos: sistema ERP (sistemas de gestão integrada), informações que são armazenadas em uma rede;

- Físicos: galpão, sistema de eletricidade, estação de trabalho, etc;

- Humanos: funcionários;

Os ativos são considerados elos de ligação onde sempre trarão consigo algumas vulnerabilidades, ameaças e riscos.

Vulnerabilidade, ameaças, riscos e controles, são geralmente confundidas apesar de terem significados diferentes. É importante entender cada palavra e sua definição e sua relação entre os conceitos:

Vulnerabilidade:

É tido como uma falha ou fraqueza de procedimento, design, implementação ou controles internos que o sistema apresenta como origem da ameaça que compromete a segurança. Pode ser um software, um serviço que está rodando no servidor, aplicações sem correções, uma operação no sistema, um ponto de acesso wireless, uma porta aberta do firewall, acesso físico fácil e sem segurança em salas de servidores ou redes e mal gerenciamento de senhas em servidores. Podem ser tratadas.

Exemplo de indicio de vulnerabilidade:Request: Usuário Válido / Senha Inválida

Response: “Senha incorreta” (tamanho: 1500)Request: Usuário Inválido / Senha Inválida

Response: “Usuário não encontrado” (tamanho: 1780)

No exemplo acima é perceptível que no primeiro request a aplicação revela que o usuário é válido (portanto existente na base de dados) já que a resposta identifica que apenas a senha estava incorreta. O segundo response também revela claramente que o usuário requisitado não é válido. Com essas informações já é possível a um atacante interagir com a aplicação realizando requests com nomes variados de usuários para

verificar qual deles a aplicação irá identificar como usuário válido (com base no response retornado).

Uma aplicação bem implementada deve retornar o mesmo tamanho e a mesma mensagem de erro para requisições de autenticação inválida. Caso o tester perceba que a aplicação apresenta tamanho e códigos de resposta diferentes para cenários de requisições mal sucedidas de autenticação, como nos cenários 2 e 3 acima, é indícios de vulnerabilidade na aplicação

Ameaças:

É um evento ou atitude de potencial perigo associado a exploração de uma vulnerabilidade. Se ameaça é alguém que identifica uma vulnerabilidade e usa ela contra a empresa ou um indivíduo, é chamado de agente da ameaça. Esse agente pode ser um intruso acessando a rede através de uma porta do firewall, um processo acessando os dados de uma forma que viole a política de segurança ou um funcionário tentando copiar arquivos para um meio que fique exposto informações sigilosas. Normalmente não podem ser controladas.

Alguns tipos de ameaças:

Malware: softwares desenvolvidos para executar ações maliciosas;

Vírus: pequenos programas que causam dano a um sistema;

Backdoors: técnica para deixar uma porta aberta depois de uma invasão;

Worms: um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar.

Spywares: consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa.

Buffer Overflow: É a técnica de tentar armazenar mais dados do que a memória suporta, causando erros e possibilitado a entrada do invasor. Geralmente em um ataque de buffer overflow o atacante consegue o domínio do programa atacado e privilégio de administrador na máquina hospedeira.

SQL Injection: Trata-se da manipulação de uma instrução SQL através das variáveis que compõem os parâmetros recebidos por um script, tal como PHP, ASP, entre outros. Este tipo de ataque consiste em passar parâmetros a mais via barra de navegação do navegador, inserindo instruções não esperadas pelo banco de dados. Geralmente o atacante utiliza destas ferramentas para roubar dados ou danificar a base de dados que está no servidor.

Phishing: também conhecido como phishingscan, foi um termo originalmente criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como a Receita Federal, e que procura induzir o acesso a páginas fraudulentas, projetadas para furtar informações pessoais e financeiras da vítima.

Dentre outras.

Riscos:

O risco é a probabilidade de uma ameaça explorar a vulnerabilidade e causar um impacto comercial. Se o Firewall tem várias portas abertas, concede uma grande probabilidade de um intruso utilizar um acesso não autorizado na rede. Os usuários também devem estar bem instruídos e treinados, pois existe uma grande probabilidade de um deles cometerem algum erro não intencional e destruir dados importantes. Podem ser minimizados.

Controles:

Controles ou contramedidas são mecanismos utilizados para diminuir um potencial risco. Eles podem ser desde um software, um dispositivo de hardware ou um procedimento que elimina a vulnerabilidade ou a probabilidade de um agente de ameaça explorar a vulnerabilidade. Como exemplo, podemos citar uma senha considerada forte, firewalls, controles de acessos, criptografia ou treinamentos de segurança.

Se uma empresa tem um antivírus e não o atualiza, a empresa ficará vulnerável para algum agente da ameaça. Se o vírus entrar no ambiente, ele explorará a vulnerabilidade e, como

consequência, a empresa ficará exposta a riscos. Os controles ou contramedidas, aplicadas de maneira correta, podem eliminar essa vulnerabilidade e diminuir os riscos. A empresa nunca conseguirá eliminar as ameaças, mas pode se prevenir dos agentes que exploram a vulnerabilidade de seus ambientes.

Tipos de controles:

Os controles são utilizados para diminuir os riscos que as organizações podem enfrentar em três aspectos: Administrativo (pessoas), técnico ou lógico e físico.

Controle Administrativo: ligados a orientações pessoais - Documentação de segurança, gerenciamento de risco e treinamentos;

Controle Técnico ou lógico: softwares ou componentes e dispositivos de hardware, firewalls, criptografias e mecanismos de autenticação.

Controle Físico: acesso restrito a certos locais, guardas, fechaduras, câmeras, etc.

Como exemplo, a Empresa A pode ter como controle físico o seguinte modelo:

- Cerca elétrica;

- Trava externa nas portas;

- Circuito de câmeras (CFTV);

- Seguranças, guardas;

- Travamento de portas internas;

- Sala de servidor trancada;

- Computadores com travas em seus cabos;

Controle Técnico / Lógico:

- Firewalls;

- Detector de invasores de sistema;

- Antimalware;

- Controle de Acesso;

- Encriptação;

Outras diferentes funcionalidades dos Controles de Segurança podem ser:

- Preventivo: redução de riscos. Ex.: segregação de funções, mecanismos de acesso físico / lógico, software antivírus, conscientização, classificação de informações, firewall, etc;

- Detectivos: identificam violações e incidentes. Ex.: Auditorias, alarme, IDS (intrusion detective system), câmeras de monitoramento, etc;

- Corretivos: amenizam violações e incidentes, melhoram controles preventivos. Ex.: Plano de contingência, extintores, lista de erros ocorridos, política de segurança, soluções do anti-vírus etc;

- Dissuasão: desencorajam violações. Ex.: Sistemas de detecção de intrusão, tais como sensores e analisadores podem ser usados para monitorar e analisar todo o tráfego para o sistema com a intenção de bloquear o tráfego suspeito. Após a detecção, tentativas de dissuasão podem ser feitas no sentido de interromper e inibir um ataque, ampliando a possibilidade de um ataque em curso ser descontinuado.

- Recuperação: restauram sistemas e informações. Ex.: Backup, Sistemas de armazenamento, Sistemas antivírus, Mirroring de bases de dados;

- Compensação: controles alternativos aos sugeridos. Ex.: Colocar Guardas de plantão, porém ,pelo alto custo para a empresa, a alternativa é colocar uma cerca elétrica.

Como exemplo, podemos descrever controles preventivos para os controles Administrativos, Físicos e Técnicos:

- Preventivo: Administrativo

Políticas e procedimentos; Práticas de contratação efetiva; Prévia verificação de antecedentes; Controle de processos; Classificação e rotulagem de dados; Conscientização da segurança;

Preventivo: Físico

Crachás, cartões magnéticos; Guardas, cães; Grades, fechaduras;

Preventivo: Técnico

Senhas, biometria; Encriptação, protocolos de segurança, database views, restrição na interface do

usuário; Antimalware, controles de acesso, firewalls e IDS;

Preventivo Detectivo Corretivo Dissuasão RecuperaçãoFÍSICO

Cerca, grades XFechadura X

Sistemas de Crachás

X

Biometria XIluminação X

Sensor de movimento

X

CFTV X

ADMINISTRATIVOPolíticas de

segurançaX

Monitoramento e supervisão

X

Investigação XClassificação de

informaçõesX

Procedimento pessoal

X

Testes XTreinamento de

segurançaX

TÉCNICO /

LÓGICOEncriptação XRegistros de

auditoriaX

IDS XAntivírus X

Imagem do servidor

X

Backup X

EXERCÍCIOS:

1) Leia os exemplos de quebra de propriedades de segurança da informação e classifique-as de acordo com os pilares: Confidencialidade, Integridade, Disponibilidade e Autenticidade.

a) alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda.

b) alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal.

c) o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.

2) ESTUDO DE CASO

Analisaremos através de um estudo de caso que refere-se à investigação de situações envolvidas em um determinado ambiente. Diversos fatores são observados em busca de evidências que descrevam uma determinada situação. Em uma entrevista realizada com um sócio e gestor de Tecnologia da Informação de uma empresa do setor de comércio varejista com aproximadamente 35 funcionários, da cidade de Registro/SP, na qual o nome não será citado nesse artigo por questões éticas. Sendo assim foi denominada como Empresa X para o uso nesse artigo para não serem expostas vulnerabilidades, informações confidenciais, entre outras informações sigilosas da organização.

Nessa entrevista, foram vistas as necessidades da implementação básica da segurança das informações na organização com base nas pesquisas citadas, neste artigo, para garantirem possivelmente mais segurança nas atividades da empresa e os objetivos do negócio.

O objetivo primordial, desse estudo de caso, é fazer uma análise da situação atual da segurança da informação em uma empresa do mundo real e identificar as ameaças e as vulnerabilidades relacionando os principais requisitos básicos da segurança da informação, segundo DANTAS (2011), são eles, a confidencialidade, a integridade e a disponibilidade das informações.

Na Empresa X, em seu âmbito, utiliza Tecnologia da Informação dentro da organização, onde possui dois servidores, um deles operando com o Sistema Operacional Windows Server 2003 e outro com Windows Server 2008, onde o servidor com Windows Server 2003 é utilizado para armazenamento de arquivos e o outro com Windows Server 2008 para rodar a aplicação do Enterprise Resource Planning (ERP), em português, Gestão Empresarial. A empresa também possui vinte e duas estações de trabalho.

No servidor de arquivos, os funcionários têm usuário e senha de acesso, porém a senha é padrão para todos os funcionários e todos possuem o mesmo acesso. O acesso ao servidor de aplicativos, onde todos os funcionários utilizam para acessar o sistema ERP, são necessários usuários e senhas de acesso, e nesse caso todos possuem o seu próprio.

Para acessos à internet, os funcionários não possuem nenhuma restrição nas estações de trabalho quanto ao uso e a quais endereços virtuais podem ou não podem ser acessados, e todos os funcionários utilizam a rede WIFI da empresa.

O uso da internet em horário de trabalho tem apenas proibição de cunho ético-moral, feito de maneira oral, ou seja, verbal, não estabelecendo regras escritas ou documentadas para os funcionários da instituição.

A rede possui um servidor firewall, Brazil Firewall (BFW), fazendo apenas o balanceamento entre duas conexões de internet, os servidores não possuem antivírus, apenas nas estações clientes é utilizado uma versão gratuita de antivírus. A Empresa X, no momento não possui nenhum plano de implantação de uma política de segurança das informações.

Essas informações foram fornecidas pelo sócio e gestor de TI, juntamente com as questões abaixo respondidas, que haviam sido aplicadas para que houvesse um melhor entendimento da Situação da Empresa X.

Questionário:

1. Na empresa é utilizado Tecnologia da Informação para guardar informações?

( X ) SIM ( ) NÃO

2. A empresa possui uma política de Segurança da Informação?

( ) SIM ( X ) NÃO

3. A empresa tem objetivo de implantar uma Política de Segurança das Informações?

( ) SIM ( X ) NÃO

4. A empresa protege as informações computadorizadas, contra acessos indevidos?

( ) SIM ( X ) NÃO

5. As informações da empresa estão sempre disponíveis quando o proprietário ou pessoas autorizadas ao

acesso dessas informações necessitam?

( X ) SIM ( ) NÃO

6. A empresa cuida da integridade das informações, possuindo algum controle para que as informações

não sejam manipuladas indevidamente?

( ) SIM ( X ) NÃO

De acordo com os estudos apresentados, a Empresa X apresenta um nível alto ou baixo de maturidade em relação a segurança da informação? Explique o porquê.

R: