Captulo 1 Introduo Segurana da Informao - 12

Captulo 1 Introduo Segurana da Informao

1.1. Objetivos
Fornecer ao aluno uma viso geral sobre segurana da informao Entender a importncia da segurana da informao no mundo de hoje Conhecer as principais ameaas Compreender a terminologia bsica utilizada Conhecer algumas certificaes da rea

Captulo 1 Introduo Segurana da Informao - 13

1.2. O que segurana?

Segundo o dicionrio da Wikipdia, segurana um substantivo feminino, que significa: Condio ou estado de estar seguro ou protegido.

Capacidade de manter seguro. Proteo contra a fuga ou escape. Profissional ou servio responsvel pela guarda e proteo de algo. Confiana em si mesmo. Dentro do escopo com relao ao que iremos estudar, os trs primeiros tpicos adequam-se perfeitamente ao que ser abordado ao longo do curso. No entanto, veremos esses aspectos na viso do atacante, aquele que tem por objetivo justamente subverter a segurana. E o que queremos proteger? Vamos analisar o contexto atual em primeiro lugar... Na poca em que os nobres viviam em castelos e possuam feudos, com mo de obra que trabalhavam por eles, entregando-lhes a maior parte de sua produo e ainda pagavam extorsivos importos, qual era o maior bem que possuam? Terras! Isso mesmo, quem tinha maior nmero de terras era mais poderoso e possua mais riqueza. Posto que quanto mais terras, maior a produo recebida das mos dos camponeses que arrendavam as terras de seu suserano. Aps alguns sculos, com o surgimento da Revoluo Industrial, esse panorama muda completamente... Os camponeses deixam os campos e passam a trabalhar nas fbricas, transformando-se em operrios. Quem nunca viu o filme Tempos Modernos de Chaplin? Chaplin ilustra muito bem como era a rotina desses operrios. Nessa fase da histria da civilizao, o maior ativo a mo de obra,

Captulo 1 Introduo Segurana da Informao - 14 juntamente com o capital. Quem tinha o maior nmero de operrios, trabalhando incansavelmente, detinha o poder, pois possua maior capital, gerado pela produo incessante das indstrias. No entanto, como tudo o que cclico e est em constante mudana, o cenrio mundial novamente se altera, inicialmente com o movimento iluminista. O Iluminismo, a partir do sculo XVIII, permeando a Revoluo Industrial, prepara o terreno para a mudana de paradigma que est por vir. Os grandes intelectuais desse movimento tinham como ideal a extenso dos princpios do conhecimento crtico a todos os campos do mundo humano. Supunham poder contribuir para o progresso da humanidade e para a superao dos resduos de tirania e superstio que creditavam ao legado da Idade Mdia. A maior parte dos iluministas associava ainda o ideal de conhecimento crtico tarefa do melhoramento do estado e da sociedade. E com isso, comeamos a ver, atravs de uma grande mudana de paradigma, que a deteno de informaes ou conhecimentos, que tinham algum valor, que define quem tem o poder nas mos ou no. E surge, ento, a era da informao! Com esse acontecimento, inicia-se o surgimento da internet e a globalizao, possibilitando o compartilhamento em massa da informao. Nesse momento no mais a mo de obra, terras, mquinas ou capital que regem a economia e dita quem tem o poder, mas sim a informao, que se torna o principal ativo dessa era. Estamos na era da informao, e nada mais lgico que um corpo de conhecimento fosse criado para dar a devida ateno s anomalias e proteger esse ativo to importante. Essa rea de atuao, que j existia h muito anos, mas agora com tarefas bem mais definidas, com regras e normas a serem seguidas a Segurana da Informao, ou SI.

1.3. Segurana da Informao

A Segurana da Informao tem como principal objetivo, justamente, proteger as informaes, que so os principais ativos atualmente, que sejam importantes para uma organizao ou indivduo.

Captulo 1 Introduo Segurana da Informao - 15 Entendendo esse conceito, no suficiente apenas conhecer as normas existentes e as vrias formas possveis de proteo, mas necessrio tambm conhecer os riscos inerentes e as possveis formas de ataque. De acordo com o maior estrategista que j existiu, Sun Tzu, se voc conhece a si mesmo e ao seu inimigo, no precisar temer o resultado de mil batalhas. Afinal, se conhece os estratagemas empregados por atacantes maliciosos, estar muito mais capacitado para proteger seu principal ativo: a informao.

1.4. Padres/Normas 1.4.1. ISO 27001

Essa norma aborda os padres para sistemas de gesto de segurana da informao. Substitui a norma BS 7799-2

1.4.2. ISO 27002

Baseada na norma ISO 27001, essa norma trata das boas prticas de segurana da informao, onde indica uma srie de possveis controles dentro de cada contexto da rea de segurana. A partir de 2006, tornou-se substituta da norma ISO 17799:2005.

1.4.3. Basileia II
uma norma da rea financeira, conhecida tambm como Acordo de Capital de Basileia II. Essa norma fixa-se em trs pilares e 25 princpios bsicos sobre contabilidade e superviso bancria.

1.4.4. PCI-DSS
A norma Payment Card Industry Data Security Standard, uma padronizao internacional da rea de segurana de informao definida pelo Payment Card Industry Security Standards Council. Essa norma foi criada para auxiliar as organizaes que processam pagamentos por carto de crdito na preveno de fraudes, atravs de maior controle dos dados e sua exposio.

Captulo 1 Introduo Segurana da Informao - 16

1.4.5. ITIL
um conjunto de boas prticas para gesto, operao e manuteno de servios de TI, aplicados na infraestrutura. A ITIL busca promover a gesto de TI com foco no cliente no servio, apresentando um conjunto abrangente de processos e procedimentos gerenciais, organizados em disciplinas, com os quais uma organizao pode fazer sua gesto ttica e operacional em vista de alcanar o alinhamento estratgico com os negcios.

1.4.6. COBIT
Do ingls, Control Objectives for Information and related Technology, um guia de boas prticas, como um framework, voltadas para a gesto de TI. Inclui, em sua estrutura de prticas, um framework, controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e um guia com tcnicas de gerenciamento.

1.4.7. NIST 800 Series

Srie de documentos, guias e pesquisas desenvolvidos pelo National Institute of Standards and Technology, voltadas para a rea de segurana da informao. Essa srie composta de documentos considerados "Special Publications", os quais abordam desde segurana na tecnologia Bluetooth, at segurana em servidores. Dica: o documento desta srie que equivalente ao que estamos estudando ao longo desse curso, que pode inclusive representar uma metodologia especfica, o NIST 800-115.

1.5. Por que precisamos de segurana?

Evoluo da tecnologia focando a facilidade de uso Quanto mais a tecnologia evolui, mais fcil torna-se a operao dos novos sistemas e ferramentas. J vai ao longe o tempo em que era necessrio gravar de cabea 500 comandos diferentes para utilizar o computador para as tarefas mais costumeiras e simples do dia a dia. Hoje em dia tudo est ao alcance de um clique do mouse, e quando no, de um movimento de cabea, se pensarmos nos sistemas de captura de movimentos.

Captulo 1 Introduo Segurana da Informao - 17 Aumento do uso de redes e interligao das aplicaes Tudo est conectado atualmente! E quando uma mquina ou sistema comprometido, tudo o que est ao seu redor corre o risco de ser comprometido tambm. Isso demanda uma maior capacidade de gerenciamento do parque computacional, que cresce exponencialmente e muitas vezes de forma desordenada. Diminuio do nvel de conhecimento para a execuo de um ataque avanado Com a facilidade de uso aumentando gradativamente, a necessidade de conhecimento de alto nvel para realizar ataques avanados tambm diminui. Se um adolescente de 12 anos procurar na internet sobre ataques de negao de servio, por exemplo, encontrar ferramentas de simples utilizao e pode facilmente derrubar um grande servidor. Aumento da complexidade para administrao de infraestrutura de

computadores e gerenciamento Quanto maior o parque computacional, mais difcil se torna seu gerenciamento, e disso surgem inmeros problemas graves, de consequncias desastrosas. Com o aumento da complexidade da infraestrutura e, consequentemente, da sobrecarga dos administradores de rede, torna-se cada vez mais difcil gerenciar tudo o que ocorre e monitorar satisfatoriamente o funcionamento da infraestrutura organizacional.

1.6. Princpios bsicos da segurana da informao

A rea de SI possui trs pilares bsicos com o acrscimo de mais duas, que permitem a troca segura de informao, desde que nenhum deles seja violado. So eles:

1.6.1. Confidencialidade
Esse pilar o responsvel pelo controle de acesso informao apenas por aquelas pessoas ou entidade que tenham permisso compatvel com sua funo e

Captulo 1 Introduo Segurana da Informao - 18 determinada pelo dono daquela informao.

1.6.2. Integridade
Aqui, atravs dessa propriedade, determinada a necessidade de garantir que a informao mantenha todas as suas caractersticas originais como determinadas pelo proprietrio da informao.

1.6.3. Disponibilidade
Propriedade que define que determinada informao esteja sempre disponvel para o acesso quando necessrio, de maneia ntegra e fidedigna. Alguns dos ataques conhecidos buscam justamente derrubar a disponibilidade, e para algumas empresas o simples fato de no ter suas informaes disponveis durante determinado perodo de tempo, isso pode acarretar prejuzos estrondosos.

1.6.4. Autenticidade
Propriedade responsvel por garantir que a informao vem da origem informada, permitindo a comunicao segura e garantia de que a informao a qual tem acesso correta e de fonte confivel.

1.6.5. Legalidade
a propriedade que define se determinada informao, ou operao, est de acordo com as leis vigentes no pas. As mesmas leis que regem um pas podem ser completamente diferentes em outro, o que pode ocasionar uma srie de problemas, caso o sistema de gesto no seja adaptvel. Podemos ver na figura a seguir alguns dos distrbios mais comuns aos pilares da SI, vinculados a ataques que visam rea de TI:

Captulo 1 Introduo Segurana da Informao - 19

O nvel de segurana desejado, pode se consubstanciar em uma poltica de segurana que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. de extrema importncia saber equilibrar o nvel de segurana com a funcionalidade e facilidade de uso do sistema, pois o mais importante para a empresa o negcio, e a segurana existe para proteger o negcio da empresa, e no atrapalh-lo.

1.6.6. Terminologias de segurana

Vulnerabilidade fragilidade que pode fornecer uma porta de entrada a um atacante Ameaa agente ou ao que se aproveita de uma vulnerabilidade Risco (Impacto X Probabilidade) da ameaa ocorrer Ataque Incidncia da ameaa sobre a vulnerabilidade Exploit Programa capaz de explorar uma vulnerabilidade

Captulo 1 Introduo Segurana da Informao - 20

1.7. Ameaas e ataques

Em segurana da informao, precisamos estar atentos s possveis ameaas que podem, de alguma maneira, comprometer os pilares de SI. A partir das ameaas, podemos ter noo dos riscos que envolvem a atividade organizacional. Para cada tipo de atividade, ou contexto, o conjunto de ameaas ser diferente, requerendo tambm reaes e posturas diferentes para diminu-las. Vamos separar as ameaas em dois grandes grupos: fsicas e lgicas. As ameaas fsicas, caso ocorram, comprometero o ambiente fsico onde a informao est armazenada ou processada. Dentre as ameaas fsicas podemos considerar: Alagamento Raios Acessos indevidos Desabamentos E no grupo das ameaas lgicas, podemos contar as seguintes: Infeco por vrus Acessos remotos rede Violao de senhas Assim como dividimos as ameaas em dois grandes grupos, os ataques tambm podem ser divididos da mesma maneira: Internos e Externos. Os ataques internos representam por volta de 70% dos ataques que ocorrem aos sistemas e redes. Mesmo que a maioria das pessoas acreditem que a maior parte dos ataques surjam de fontes externas, essa uma maneira errnea de encarar as coisas. Dentre os ataques internos, encontramos em sua maioria, aqueles realizados por funcionrios de dentro da prpria organizao, que esto insatisfeitos, buscam

Captulo 1 Introduo Segurana da Informao - 21 vingana ou participam de alguma ao de espionagem industrial, vendendo as informaes conseguidas para o concorrente. Outro tipo de ataque vindo de insiders, surge de funcionrios

despreparados, que sem o devido conhecimento do funcionamento do sistema, ou das polticas organizacionais, age de maneira errnea, causando o comprometimento do sistema da empresa. Quando vamos analisar os ataques externos, novamente nos deparamos com a possibilidade de comprometimentos cujos objetivos estejam vinculados espionagem industrial, que apesar de ser ilegal, muitas organizaes recorrem a esse expediente para no ficar para trs, na luta pelo domnio de mercado. Outra possibilidade da origem de comprometimentos de sistemas, pode ser a curiosidade ou simplesmente o desafio que representa para um cracker, cujo objetivo de comprometer o sistema, seja basicamente isso: comprometer o sistema e poder dizer que foi ele quem fez isso. Ou ento, o furto de dados que de alguma forma sejam teis para o cracker. Bons exemplos desse tipo de ataques, podem ser encontrados no livro A Arte de Invadir, de autoria de Kevin Mitnick. Exemplo de ameaa: Uma chuva de granizo em alta velocidade Exemplo de vulnerabilidade: Uma sala de equipamentos com janelas de vidro Exemplo de ataque: A chuva de granizo contra as janelas de vidro O risco ser calculado considerando a probabilidade de uma chuva de granizo em alta velocidade ocorrer e atingir a janela de vidro.

1.8. Mecanismos de segurana

Para mitigar ou diminuir sensivelmente as ameaas, podemos empregar uma srie de dispositivos e mecanismos de segurana, sejam as ameaas fsicas ou

Captulo 1 Introduo Segurana da Informao - 22 lgicas. Para cada contexto, temos grupos diferentes de mecanismos que podem ser utilizados.

1.8.1. Mecanismos fsicos

Portas Trancas Paredes Blindagem Guardas Cmeras Sistemas de alarme Sistema de deteco de movimentos Biometria Os mecanismos fsicos de proteo, so barreiras que limitam o contacto ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta.

1.8.2. Mecanismos lgicos

Criptografia Firewall Anti-Vrus IDS IPS Proxy

Captulo 1 Introduo Segurana da Informao - 23 Anti-Spam Os mecanismos lgicos, so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

1.9. Servios de segurana

Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os antivrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc. Alm de dispositivos de segurana, tambm existem diversos servios relacionados a segurana da informao. Esses servios precisam de profissionais com um conhecimento altamente especializado, primeiro por lidar com anlises complexas, e segundo por envolver informaes sigilosas que precisam de tratamento especial, para que no sejam comprometidas de alguma maneira. Dentre os servios oferecidos por profissionais de segurana esto: Criao de Polticas de Segurana Implantao de CSIRTs Hardening de Servidores Anlise de Vulnerabilidade Teste de Invaso Anlise de Aplicao Percia Computacional Treinamento de Colaboradores Auditoria

Captulo 1 Introduo Segurana da Informao - 24

1.10. Certificaes
Na rea de segurana, h muitas certificaes reconhecidas pelo mercado. Sendo que cada ma delas possui um foco diferente, nvel de conhecimento diferente e formas de avaliaes diversas. Abaixo listamos as principais certificaes da rea de SI:
CompTIA Security+ Cisco Systems CCNA Security CCSP CCIE Security EC-Council CEH CHFI ECSA ENSA LPT GIAC GSIF GSEC GCIA GCFW GCFA GCIH GPEN GCUX GCWN GWAPT GAWN GREM GSE ISACA CISA CISM (ISC) CAP CISSP CSSLP ISSAP ISSEP ISSMP SSCP ISECOM OPSA OPST Offensive Security OSCP OSCE Immunity NOP

Dentro do contedo estudado e de acordo com o contexto que estamos estudando, algumas certificaes possuem em sua avaliao muito dos assuntos

Captulo 1 Introduo Segurana da Informao - 25 abordados em aula. Podemos citar, dentre essas, as certificaes: CEH, ECSA, LPT, OPSA, OSCP, GPEN

1.11. War Games

Para facilitar e possibilitar a utilizao das tcnicas aprendidas no curso, sem causar qualquer tipo de comprometimento a ambientes reais, podemos utilizar como ferramenta o que conhecido como War Games: jogos que simulam ambientes reais e permitem colocar em prtica tcnicas de explorao de vulnerabilidades.

1.11.1. War Games desktop

Uplink Hacker Evolution BSHacker Street Hacker MindLink Cyber Wars

1.11.2. War Games online

http://www.hackthissite.org/ http://www.hackquest.de/ http://www.hack4u.org/

Captulo 1 Introduo Segurana da Informao - 26 http://www.mod-x.co.uk/main.php http://bigchallenge.free.fr/ http://www.hackertest.net/