P. 1
Segurança da Informação

Segurança da Informação

4.67

|Views: 3.132|Likes:
Publicado porniustar

More info:

Published by: niustar on Sep 15, 2007
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as ODP, PDF, TXT or read online from Scribd
See more
See less

01/11/2013

pdf

text

original

Segurança da Informação

2007 UFG

➢ André ➢ Chrystian ➢ Fabrício

O que é informação?
Segundo o dicionário AURÉLIO: Informação é um dado acerca de alguém ou algo; o conhecimento; segundo a teoria da informação, a medida da redução da incerteza.

Segurança da informação - definição
Um mecanismo de segurança da informação providencia meios para reduzir as vulnerabilidades existentes em um sistema de informação.

Segurança da informação – definição
Segundo a norma NBR17799, segurança da informação pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos.

Inportância da segurança de informação

Quanto vale a informação para uma empresa? Sem informação, uma empresa pode sobreviver quanto tempo?

Proteção
Proteger contra: Destruição ● Vazamento ● Modificação ● Mau uso dos recursos

Conceitos básicos
Sistema de informação seguro garante:

● ●

Disponibilidade ● Integridade ● Confidencialidade ● Autenticação

Tipos de segurança

Segurança física Segurança lógica

Segurança física

● ●

Evitar riscos tais como:

Incêndios ● Inundação ● Explosões

Segurança lógica
Proteger pontos de rede ● Regras de controle de acesso ● Criação de logs ● "Tudo deve ser proibido a menos que seja expressamente permitido" ● Fazer backups

Histórico

Desde o início da civilização humana, sempre houve uma preocupação com as informações e com os conhecimentos proporcionados por ela.

Histórico

O processo de escrita de alguns povos antigos já utilizavam maneiras de garantir uma segurança nas informações. Os Egito antigo usava a escrita de hierogrifos para proteger e perpetuar seu conhecimento. Primeiros métodos de criptografia surgiram então.

Histórico

A preocupação aumentou consideravelmente na era moderna, com o surgimento dos computadores. Mais ainda com o surgimento do chamado “time-sharing”,ou seja, mais de uma pessoa utilizando o computador ao mesmo tempo.

Histórico

“Time-Sharing” gerou acessos indesejáveis a determinadas informações. Exemplo: Estagiário tendo acesso a dados do Presidente. Surgiu a necessidade de controlar então esse acesso.

Políticas de Segurança

Primeiro problema clássico : “Como fazer com que usuários autorizados tenham acesso a determinadas informações, ao mesmo tempo que, os não autorizados não possam acessá-las.”

Políticas de Segurança

Primeira resposta: Criação de um novo SO, melhor e mais aprimorado. Problema: A sociedade ainda não tinha conhecimento para construí-lo.

Políticas de Segurança

Conjunto formal de regras que devem ser seguidos pelos usuários de recursos de uma organização. Segundo esforço para solução do problema: em 1967 foi criado o "Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security", pelo DOD.

Políticas de Segurança

Representou o início do processo de criação de regras para segurança da informação. Culminou na publicação de uma norma internacional de segurança da informação no ano 2000.

Políticas de Segurança

Então a agência central de inteligência,dos EUA, desenvolveu o primeiro SO que implementava as politicas de segurança do DOD, chamado de ADEPT-50.

Políticas de Segurança.

Outubro de 1972, J. P. Anderson escreveu um relatório técnico conhecido como: "Computer Security Technologs Planning Study", no qual ele descreve “todos” os problemas envolvidos no processo de se fornecer os mecanismos necessários para salvar e guardar a segurança de computadores.

Políticas de Segurança

Este documento, combinado com os materias produzidos por D.E. Bell e por L. J. La Padula, e denominados "Secure Computer Systens: Mathematical Fundations", "Mathemathical Model", e "Refinament of Mathematical Model", deram origem ao que ficou conhecido como “Doctrine”, esta por sua vez seria a base de vários trabalhos posteriores na área de segurança.

Políticas de Segurança

Paralelamente, o Coronel Roger R. Schell, iniciou o desenvolvimento de várias técnicas e experimentações, que levariam ao surgimento do que ficou conhecido como "Security Kernels" que são os componentes principais para o desenvolvimento de um Sistema Operacional "Seguro".

Políticas de Segurança

Em 1977 o Departamento de defesa dos Estados Unidos, formulou um plano sistemático para tratar do Problema Clássico de Segurança, o qual daria origem ao "DoD Computer Security Initiative", que, por sua vez, desenvolveria a um "centro" para avaliar o quão seguro eram as soluções disponibilizadas.

Políticas de Segurança

A construção do "Centro" gerou a necessidade da criação de um conjunto de regras a serem utilizadas no processo de avaliação, este conjunto de regras ficaria conhecido informalmente como "The Orange Book", devido a cor da capa deste manual de segurança, e coronel Roger Shell foi o primeiro diretor deste centro.

Politicas de Segurança

“Orange Book”: seu desenvolvimento teve início em 1978 mas a versão final foi concluída apenas em 1985. Considerado o marco inicial da busca de um conjunto de medidas que permitam a um ambiente computacional ser qualificado como seguro.

Políticas de Segurança

Graças as operações e ao processo de criação do Centro de avaliação e do "Orange Book", foi possível a produção de uma larga quantidade de documento "técnicos" que representaram o primeiro passo na formação de uma norma coesa e completa sobre a segurança de computadores.

Políticas de Segurança

Outro fator a ser lembrado é que o "Orange Book", permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados, usando esse software como fonte de referência para desenvolvimento de novos.

Políticas de Segurança

A série de documentos originados pelo esforço conjunto dos membros do centro é reconhecida pelo nome de "The Rainbow Serie", cujos documentos continuam sendo atualizados largamente, tais documentos são distribuídos gratuitamente pela internet.

Políticas de Segurança
● ●

O "The Orange Book" - marco “zero”. Surgimento de padrões mundiais mais atuais de segurança não só de computadores mas também das informações. Liderado pela "International Organization for Standardization" - ISO.

Políticas de Segurança

No final do ano de 2000 este esforço apresentou o seu primeiro resultado, que e a norma internacional de segurança da informação "ISO/IEC17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC17799".

O futuro

Segundo Fábio Costa, presidente da IDC Brasil, o que vem pela frente vai depender muito de como vai evoluir a tecnologia, em especial a tecnologia de comunicação. Nós provavelmente ainda teremos várias experiências, em especial no mundo wireless. De acordo com o Sage, boletim semestral da McAfee, o spam e os telefones celulares serão cada vez mais utilizados pelos criminosos virtuais para aplicar fraudes.

Exemplo de caso: NBR 17799
O que é NBR 17799? A NBR 17799 é a versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001.

NBR 17799 - Abordagem
Política de segurança ● Segurança organizacional ● Classificação e controle de informações ● Segurança física ● Gerenciamento das operações ● Controle de acesso ● Conformidade

Guerra Cybernética
Conceito
➔ Corresponde ao uso ofensivo e defensivo de informações e

sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores . Estas ações são elaboradas para obtenção de vantagens tantona área militar quanto na área civil.”
➔ Guerra Assimétrica = Alto Impacto + Baixo Custo

Guerra Cybernética
● ● ●

Ambiente Cibernético é tratado por diversos países como um novo teatro de guerra, juntamente com mar, ar, terra e espaço. tecnologia “hacker” é item bélico. 23 países tratam como estratégia de estado a formação específica de grupos de “guerreiros cibernéticos” como tropa de elite (fonte:Infowar Conference 2001)

Guerra Cybernética
èChina e Rússia vêm se destacando na formação de “guerreiros cibernéticos”, sendo os grupos chineses os maiores desenvolvedores de vírus e descobridores de brechas de segurança na internet. èUtilização intensa de sistemas de fonte aberta. èDoutrina oriunda da Guerra Fria: conceito de estar sempre respondendo com tecnologia de ponta. .

Guerra Cybernética
Doutrina apresentada no Jornal do Exército Popular da China em 1999... “... Trazer a guerra cibernética para sistemas militares é tão importante quanto os Poderes Naval, Terrestre e Aéreo.” “... É essencial que tenhamos dominado tecnologias de desenvolvimento de programas para ataques às redes de computadores, tornando-nos capaz de lançar ataques e contramedidas, tais como bloqueio e disfarce de informações...”

Guerra Cybernética em 1997 pelas FFAA dos EUA Exercício de Guerra Cibernética
èSimulação de uma crise internacional e um governo estrangeiro contratando 35 hackers para neutralizar a reação dos EUA à crise. è Os hackers facilmente penetraram nas malhas energéticas de todas as principais cidades dos EUA, diretamente ligadas à capacidade deposicionamento de forças de combate, violaram o sistema de telefonia de emergência "911" e acessaram o sistema de Comando e Controle do Pentágono. è Em poucos dias eles rastrearam 40.000 redes e capturaramcompletamente 36 delas. è Comprovou que 35 pessoas, usando informações disponíveis publicamente, com habilidades que se encontravam disponíveis no mundo inteiro, podiam ter impedido os EUA de responder a uma crise.
Prova da eficácia de uma Guerra Cibernética... Eligible Receiver

Fonte: Adams, J. “The Next World War”

Guerra Cybernética EUA... Iniciativas Governamentais nos
➔ exemplo acadêmico: em 2002 criação na Naval Postgraduate

School (US Navy) de 10 novos cursos específicos de segurança cibernética e uma área de estudo específica para tal. ➔ (FEV/2003) publicação da Estratégia Americana para Defesa do CyberSpace.(The National Strategy to Secure the Cyberspace). Fixa como prioridade 1 o estabelecimento do National Cyberspace Security Response System (não somente responde ou recupera um sistema de um ataque, mas detecta, analisa e depois responde).

Guerra Cybernética o ➔ Numa investigação sobre a segurança do Windows-NT,
Is Windows Wide Open to the NSA? Reported backdoor found in Windows would allow the National Security Agency to enter any Elizabeth Heichler, IDG News Service Friday, September 03, 1999 The chief scientist for a Canadian cryptography and security firm has identified a backdoor into Microsoft's cryptography system. He charges that it may be intended to grant access to data on any Windows user's system to the U.S. National Security Agency...
PC.

Cientista Chefe da Cryptonym's descobriu um backdoor para a NSA em toda cópia do Win95-98-NT-2K.

Guerra Cybernética
Caso CRIPTO AG

Graças ao relacionamento CRIPTO AG - NSA, durante décadas os EUA interceptaram e decifraram mensagens sigilosas cifradas de mais de 130 países. Estas nações haviam adquirido da CRIPTO AG a mais sofisticada e supostamente segura tecnologia de criptografia comercial disponível. Entretanto, os equipamentos da CRIPTO AG transmitiam, automática e clandestinamente, as chaves criptográficas utilizadas junto com asmensagens cifradas.

Fontes: Relatório do STOA ao Parlamento Europeu - abr /99 Revista CovertAction Quarterly - 97/98

Guerra Cybernética
Vulnerabilidades nacionais ètecnologia (“know-how” & “know-why”) de segurança da informação e guerra cibernética não se compra, se desenvolve. èpleno domínio dos sistemas èdependência externa èescassez de suporte nas universidades e instituições de pesquisa (proporção muito pequena de linhas de pesquisa em SegInfo).

Guerra Cybernética
Vulnerabilidades nacionais èsistemas para Infra-estrutura Nacional (comunicações, elétrica etc.) èobsolescência de sistemas. èsistemas importados èsistemas de proteção ètestes dos planos de contingência èinfra-estrutura de telecomunicações privatizada em empresas estrangeiras.

Guerra Cybernética
Mitigação das vulnerabilidades Incentivo à formação acadêmica è intensificar adoção de software livre visando tecnologias de segurança è reduzir dependência externa è áreas de pesquisa: 4SEGURANÇA DE REDES 4PROCEDIMENTOS DE SEGURANÇA 4VÍRUS, WORMS, TROJANS 4TOPOLOGIAS DE SEGURANÇA 4FIREWALLS 4SISTEMAS DE DETEÇÃO DE INTRUSOS (IDS) 4ANÁLISES DE REGISTROS (LOGS) 4ANÁLISES DE RISCO 4CRIPTOGRAFIA & CRIPTOANÁLISES (OPERACIONAL E CERTIFICACIONAL)

Guerra Cybernética

Exemplos:

➢ Oriente médio – Outubro/2000 ➢ Estônia – Abril/2007

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->