Tecnologia de Segurana da Informao

Incidentes de Segurana e Abusos

Segurana Inter-Redes e Protocolos

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

O que um Incidente de Segurana?
Qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores
Tentativas de acesso no autorizado Ataques de negao de servio Uso ou acesso no autorizado a um sistema Modificao de um sistema sem permisso do dono Desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa ou provedor

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

Medidas de Segurana
Aes projetadas para evitar, conter ou barrar (causas) Ou para minimizar ou eliminar (consequncias)
Das ameaas latentes ou potenciais, em face das vulnerabilidades de um ativo dentro de seu permetro de proteo.

Permetro de Proteo
Consiste em um ambiente ou linha imaginria, fsica ou lgica, em que a ameaa pode ocorrer.
O nvel de segurana de uma empresa est diretamente associado sua porta mais fraca.

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

Medidas de Segurana
As medidas de segurana podem ser:
PREVENTIVAS Quando o objetivo evitar a ocorrncia de determinada ameaa; DETECO Quando buscam flagrar a ocorrncia de uma ameaa; CORRETIVAS Visam eliminar e minimizar as consequncias de determinada ameaa; RESTAURADORAS Para restabelecer a sistemtica operacional e situao de normalidade.

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

O que uma Poltica de Segurana?
Atribui direitos e responsabilidades s pessoas que lidam com recursos computacionais de uma instituio e com as informaes nele armazenados Define atribuies de cada um em relao segurana dos recursos
Descumpriu poltica segurana Houve incidente de

Na poltica de segurana so definidas as penalidades

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

O que uma Poltica de Uso Aceitvel (AUP)?
Define como os recursos computacionais de uma organizao podem ser utilizados. Tambm define os direitos e responsabilidades dos usurios. Provedores de acesso a Internet
Deixam suas polticas disponveis em suas pginas Empresas do conhecimento da poltica na contratao ou no incio do uso dos recursos computacionais

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

O que pode ser considerado Uso Abusivo da rede?
Envio de spam Envio de correntes de felicidade ou de ganhar dinheiro Envio de e-mails de phishing/scam Cpia e distribuio no autorizada de material protegido por direitos autorais Utilizar Internet para difamao, calnia e ameaas Ataques a outros computadores

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

Registro de Eventos (Logs)
Registros de atividades geradas por um programa Logs de incidentes de segurana IDS Firewall ou

Sistema de Deteco de Intruso (IDS)

IDS Intrusion Detection System Programas que detectam atividades maliciosas Monitoram atividades de um computador ou da rede

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

Quais atividades geram Logs?
Nas tentativas de acessar o computador barradas pelo firewall
Pode ser considerada uma tentativa de invaso Ou pode ser um Falso Positivo

IDS geram logs

Em tentativas de invaso Em casos de ataques com sucesso (O firewall no gera)

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

O que Falso Positivo?
Firewall ou IDS acusa um ataque, mas essa atividade no um ataque
Ex: Conexo com servidores de IRC usando firewall pessoal
O usurio no pode ter nenhum programa atuando com proxy O servidor envia conexes ao cliente para verificar se existe
algum programa proxy ativo ataque

Se o cliente tem firewall, acusar essas conexes como um

Quando o firewall no est devidamente configurado

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Incidentes de Segurana e Abusos

Informaes presentes nos logs
Data e Horrio da ocorrncia da atividade Endereo IP da origem da atividade Portas envolvidas Se ferramenta com maior grau de refinamento
Time zone do horrio do log Protocolo utilizado (TCP, UDP, ICMP, etc...) Os dados completos que foram enviados

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Notificao de Incidentes e Abusos

So duas as origens de um ataque
Um programa malicioso com ataque automtico
Pode ser um bot ou um worm

Uma pessoa usando ferramentas para ataque Se ataque vem de mquina vtima de bot ou worm
Reportar para os responsveis por essa mquina

Se for ataque de uma pessoa

Violou a poltica de uso aceitvel da rede Ou invadiu outra mquina para gerar ataques Avisar aos responsveis por essa mquina

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Notificao de Incidentes e Abusos

Para quem notificar os incidentes?
Para os responsveis pela rede que originou o incidente
E para o grupo de segurana e abusos dessa rede

O grupo de segurana e abusos da sua rede

Seja um provedor, empresa ou universidade

Manter o CERT.br (cert@cert.br) na cpia da mensagem

Caso algum site envolvido seja brasileiro

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

CERT.br
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
Ser ponto central de notificaes de incidentes de segurana no Brasil
Para coordenao e apoio em casos de incidentes

Manter estatsticas sobre os incidentes reportados Desenvolver documentao de apoio

Para usurios e administradores de redes Internet

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

CERT.br
importante notificar ao CERT.br para: As estatsticas geradas reflitam a realidade Escrever documentos para usurios no Brasil Correlacionar dados de incidentes, de ataques existentes e de novos ataques

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Notificao de Incidentes e Abusos

Como encontrar os responsveis pela mquina origem do ataque Internet possui bases de dados com responsveis por blocos de IP existentes
Servidores whois

IPs alocados no Brasil Consulta ao nmero IP

http://registro.br

http://www.geektools.com/whois.php Fornece o e-mail dos responsveis

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Notificao de Incidentes e Abusos

Quais informaes incluir na notificao de incidente?
Logs completos Data, horrio e time zone dos logs ou da atividade notificada Dados completos do incidente

Segurana Inter-Redes e Protocolos Redes e protocolos Terceiro Semestre Quarto Semestre

Notificao de Incidentes e Abusos

Como proceder em casos de phishing/scam?
No haver logs nesse caso
uma mensagem de e-mail para induzir o usurio

Enviar notificao para responsveis da rede envolvida

Manter o CERT.br (cert@cert.br) na cpia da mensagem Enviar cabealho e contedo da mensagem de phishing/scam.

Mais informes sobre notificaes de incidentes

FAQ do CERT.br

http://www.cert.br/docs/faq1.html

Segurana Inter-Redes e Protocolos Quarto Semestre

Fim
Segurana Inter-Redes e Protocolos