970 likes | 1.09k Views
SEGURANÇA E AUDITORIA DE SISTEMAS. FABRÍCIO SANTANA. As 3 Principais Propriedades da Segurança da Informação. Confidencialidade: Apenas pessoas explicitamente autorizadas tem acesso a informação Integridade: A informação acessada está completa, sem alterações e, portanto, confiável.
E N D
SEGURANÇA E AUDITORIA DE SISTEMAS FABRÍCIO SANTANA
As 3 Principais Propriedades da Segurança da Informação • Confidencialidade: Apenas pessoas explicitamente autorizadas tem acesso a informação • Integridade: A informação acessada está completa, sem alterações e, portanto, confiável. • Disponibilidade: Está accessível, para pessoas autorizadas, sempre que necessário.
Princípios Complementares da Segurança da Informação • Autenticidade: É preciso possuir mecanismos para verificar a identidade reclamada por uma entidade do sistema; • Controle de Acesso: O acesso à informação deverá ser controlada de acordo os privilégios necessários à entidade relacionada; • Não-repúdio: Mecanismo que deve garantir que uma entidade não pode negar o envolvimento numa transação.
Aplicação da Segurança da Informação em Níveis DEFINIÇÕES AÇÕES
Conceitos de Segurança da Informação • Ativo • Incidente • Ameaça • Vulnerabilidade • Probabilidade • Impacto • Risco
Ativo • É qualquer elemento que possui valor para a organização e consequentemente necessita ser adequadamente protegido. • Na sociedade atual, a informação é o principal ativo da empresa e está sob constante risco. A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa. Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente.
Incidente • Em segurança da informação, um incidente é qualquer acontecimento que prejudique o andamento normal dos sistemas e/ou do negócio. • Ex.: Uma falha de segurança no Yahoo! causou o vazamento de mais de 453 mil dados de usuários de diversos serviços oferecidos pelo portal, segundo o ArsTechnica. Fonte: Olhar Digital. Julho/2012
Ameaça • Em inglês, utiliza-se termo “threat” para definir ameaça. • É qualquer ação, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, através de uma vulnerabilidade e conseqüentemente gerando um determinado impacto. As ameaças apenas existem se houverem vulnerabilidades, sozinhas pouco fazem. • Ex.: A companhia de segurança Trusteer está alertando sobre um vírus para Androidque está sendo distribuído por criminosos e tem como alvo sistemas de autenticação por SMS empregados por bancos europeus para verificar transferências online. Fonte: IDG Now!
Ameaças • Tipos de ameaças: • Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc. • Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc. • Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, Espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.
Vulnerabilidade • A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque ou falha, ou seja, é uma condição de risco encontrada em determinados recursos, processos, configurações, etc. • Cada vez mais crackers buscam vulnerabilidades multiplataforma. Utilizando falhas já corrigidas por fornecedores, criminosos se aproveitam da negligência de usuários, que não atualizam seus softwares quando necessário.Cadavez mais crackers estão escolhendo como alvo as mesmas vulnerabilidades de aplicativos em Macs e Pcs com Windows, visando benefícios financeiros e para desenvolver malwaresmultiplataforma. Fonte: IDG Now! Agosto/2012.
Vulnerabilidade • Conceito de vulnerabilidade • Principais origens • Deficiência de projeto: brechas no hardware/software • Deficiência de implementação: instalação/configuração incorreta, por inexperiência, falta de treinamento ou desleixo • Deficiência de gerenciamento: procedimentos inadequados, verificações e monitoramento insuficientes
Probabilidade • A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades.
Impacto • São as potenciais consequências que este incidente possa causar ao negócio da organização. • Ex.: Alguns impactos resultantes da invasão da rede Playstation Network da Sony: • Exposição de dados sigilosos de 77 milhões de usuários; • Serviço indisponível por três semanas; • Segundo a Forbes, o prejuízo financeiro pode alcançar, no pior cenário, 24 bilhões de dólares.
Risco • Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo; • Risco pode se definido como uma medida da incerteza associada aos retornos esperados de investimentos (Duarte Júnior, 2004); • Subentende-se por risco, o nível do perigo combinado com: (1) a probabilidade de o perigo levar a um acidente e, (2) a exposição ou duração ao perigo (algumas vezes denominado de latente); algumas vezes, o risco é limitado ao relacionamento entre o perigo e o acidente, ou seja, a probabilidade do perigo conduzir a um acidente, mas não da probabilidade do perigo ocorrer (Leveson et al, 1997); • Conforme (Scoy, 1992), risco não é ruim por definição, o risco é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado.
Ataques • Conceito • Tipos de ataques • Passivo • Interceptação, monitoramento, análise de tráfego (origem, destino, tamanho, freqüência) • Ativo • Adulteração, fraude, reprodução (imitação), bloqueio
Ataques • Ataques sobre o fluxo de informação • Interrupção: ataca a disponibilidade • Interceptação: ataca a confidencialidade • Modificação: ataca a integridade • Fabricação: ataca a autenticidade
Exemplos de Ataques / Ameaças • Vírus • Verme (Worm) • Cavalo de Tróia (Trojan Horse) • Malware • Back Door (Porta dos Fundos) ou TrapDoor (Armadilha, Alçapão) • Bomba Lógica • PortScanning (Varredura de Portas) • Spoofs (Falsificação ou Disfarce de identidade) • DNS Spoof • Quebra de Senha (PasswordCracking)
Exemplos de Ataques / Ameaças • Engenharia Social • Sniffing (Monitoramento, “Grampo”) • Web Site Defacement • DoS - Denialof Service (Interrupção de Serviço) • SPAM / Junk Mail • Mensagem-Bomba (Mail Bomb) • War Dialing • Injeção de SQL (SQL Injection) • Exploit
Exemplos de Ataques / Ameaças • Depois de atacar ao longo da semana o Itaú, Bradesco, Banco do Brasil e HSBC, o grupo de hackers Anonymous assumiu nesta sexta-feira (3/02), em sua página no Twitter, o ataque aos sites do Citibank,Panamericano, BMG, Febraban, Cieloe Redecard. É a primeira vez que o grupo afirma fazer ataques simultâneos. Testes feitos porÉpoca NEGÓCIOS mostraram que os sites não estavam acessíveis. • A assessoria de imprensa do Panamericano declarou que o site estava indisponível, possivelmente por sobrecarga de acessos. A Febraban também apontou volume de acessos acima do normal no começo da tarde, mas rechaçou que os sistemas internos não haviam sido afetados. • O Citibank informou que sofreu uma interrupção temporária no serviço, mas que conseguiu restaurar as operações no prazo de uma hora. Também não houve problema na integridade dos dados dos clientes. O comunicado oficial da Cieloapontou que o site foi restabelecido após ter ficado temporariamente indisponível na tarde desta sexta-feira, devido a um volume de acessos acima do normal. • A assessoria de imprensa do BMG também relatou sobrecarga de acessos, acrescendo que a segurança operacional não havia sido afetada. A Redecard também apontou sobrecarga e relatou que houve apenas uma intermitência no site, o que não prejudicou as transações da rede de pagamentos. • Fonte: Amanda Camasmie, para o site Época Negócios
Fonte: Módulo – 10ª Pesquisa Anual de Segurança da Informação, Dezembro de 2007
Trabalho – 05 e 12/03/2012 1 2 5 3 4 FIM
Equipe 1 – Vírus, Vermes, Adwares, Spywares e Trojans • Data: 05/03/2013 • Tempo: 20 minutos • Conceitue a ameaça • Que tipo de vulnerabilidades são exploradas • Como evitar a ameaça • Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) • Daniel Martiliano, Dermival, Josué Carneiro, Marcos Vinicius • Uso de Recursos: 2,0 • Postura: 2,0 • Conteúdo: 1,5 • Domínio do Tema: 2,0 Voltar
Equipe 2 - DNS Cache Poisoning e DNS Spoofing • Data: 05/03/2013 • Tempo: 20 minutos • Conceitue a ameaça • Que tipo de vulnerabilidades são exploradas • Como evitar a ameaça • Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) • Gabriel Santos, Emerson, Vitor Hugo e Èlio • Uso de Recursos: 2,5 • Postura: 2,5 • Conteúdo: 1,5 • Domínio do Tema: 1,5 Voltar
Equipe 3 - SQL Injection • Data: 05/03/2013 • Tempo: 20 minutos • Conceitue a ameaça • Que tipo de vulnerabilidades são exploradas • Como evitar a ameaça • Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) • Paulo Fernando, Dely Lima, Ronny Madison e Willys Andrade • Uso de Recursos: 2,0 • Postura: 2,0 • Conteúdo: 1,5 • Domínio do Tema: 2,0 Voltar
Equipe 4 - Negação de Serviço (DoS - Denialof Service • Data: 12/03/2013 • Tempo: 20 minutos • Conceitue a ameaça • Que tipo de vulnerabilidades são exploradas • Como evitar a ameaça • Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) • Cristiane Queiroz, Igor Vitor, João Lobo, Wagner • Uso de Recursos: 2,0 • Postura: 2,0 • Conteúdo: 2,0 • Domínio do Tema: 2,0 Voltar
Equipe 5 – Engenharia Social • Data: 12/03/2013 • Tempo: 20 minutos • Conceitue a ameaça • Que tipo de vulnerabilidades são exploradas • Como evitar a ameaça • Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) • Dalisson Santos, Amauri Leal, Wesley Carlos, Jeferson Herbert e Darlan Oliveira • Uso de Recursos: 2,0 • Postura: 1,0 • Conteúdo: 1,5 • Domínio do Tema: 1,5 Voltar
Medidas de Segurança • Conceito • Objetivos: • Reduzir vulnerabilidades; • Minimizar os riscos; • Limitar impactos. • Características: • Preventivas; • Detectáveis; • Corretivas.
Autenticação • A autenticação é o processo de verificação da identidade de um usuário, isto é, garantir que um usuário é de fato quem diz ser.
Autenticação • SYK – SomethingYouKnow (“algo que você sabe”): estas técnicas de autenticação são baseadas em informações conhecidas pelo usuário, como seu nome de logine sua senha.
Autenticação • SYH – SomethingYouHave (“algo que você tem”): são técnicas que se baseiam na posse de alguma informação mais complexa, como um certificado digital ou uma chave criptográfica, ou algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.
Autenticação • SYA – SomethingYou Are (“algo que você é”): se baseiam em características intrinsecamente associadas ao usuário, como seus dados biométricos: impressão digital, padrão da íris, timbre de voz, etc.
Firewall • Conceito • Essencial, porém não o bastante • Pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. • É possível evitar que os usuários acessem serviços ou sistemas indevidos, permitindo auditoria.
Firewall • Um firewall pode ser um PC, um roteador, um servidor, um appliance ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora.
Características do Firewall • Todo tráfego entre a rede interna e a externa (entrada e saída) deve passar pelo Firewall • Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado • O Firewall em si deve ser seguro e impenetrável
Controles do Firewall • Controle de Serviço: determina quais serviços Internet (tipos) estarão disponíveis para acesso • Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados • Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN) • Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam)
Limitações de um Firewall • O Firewall não protege contra ameaças internas • O Firewall não protege contra transferência de arquivos infectados por vírus, pois seria impraticável analisar o conteúdo de tudo que trafega
Tipos de Firewall • Filtragem de pacotes • Firewalls de aplicação • Firewalls baseados no estado
Filtragem de Pacotes • Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem. • Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. • Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado.
Filtragem de Pacotes • IP de origem: É o endereço de IP que o pacote lista como seu emissor. • IP de destino: É o endereço de IP para onde o pacote está sendo mandado. • ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). • Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. • Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. • Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.
Firewalls de Aplicação • Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); • Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas; • Possibilidade de funcionarem como repositórios (arquivos) temporários ocorrendo melhorias significativas ao longo do seu desempenho.
Firewall baseado em estado • Firewall de Pacotes + Firewall de Aplicação • Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica; • Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga; • A manutenção e configuração requerem menos complexas operações. • Alto custo
IDS – IntrusionDetection Systems • Conceito • Tipos: • IDS localizados em hosts (H-IDS) • IDS localizados na rede (N-IDS) • IDS Híbridos
IDS baseados em Host • Conceito • Mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados; • Aplicado em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet”; • Usados também quando não se confia na segurança corporativa da rede em que o servidor está instalado.
Verificações dos IDS baseados em Host • Acesso a arquivos. • Integridade de arquivos. • Varredura de portas • Modificação e privilégios de usuários. • Processos do sistema. • Execução de programas. • Uso de CPU. • Conexões.