Você está na página 1de 65

Introdução a Internet

Introdução a Segurança da Informação

Prof. Frank frankdcfarias@gmail.com

Introdução à Segurança da Informação

Tópicos:

- Conceitos básicos de Segurança da Informação;

- Condições que afetam a Segurança da Informação;

- Exercícios.

Segurança de Redes

Primeiro princípio da Segurança Computacional:

Não há sistema computacional 100% seguro!

Segurança de Redes

Na realidade trabalha-se com níveis de segurança, pois existe um paradoxo que precisa ser balanceado e otimizado sempre:

segurança/usabilidade

Introdução à Segurança da Informação

O que é Segurança da Informação?

É a proteção aos ativos que produzem, processam, transmitem ou armazenam informações, compreendendo um conjunto de instrumentos que englobam :

- Políticas;

- Processos;

- Procedimentos;

- Estruturas organizacionais;

- Softwares e hardware

em conjunto com outros processos da gestão da informação.

Introdução à Segurança da Informação

Pilares da Segurança da Informação:

- Confidencialidade

- Integridade

- Disponibilidade

-Outros aspectos:

- Autenticidade

- Legalidade

-- AUTENTICIDADEAUTENTICIDADE -- LEGALIDADELEGALIDADE

-Outros aspectos: - Autenticidade - Legalidade - - AUTENTICIDADE AUTENTICIDADE - - LEGALIDADE LEGALIDADE

Pilares da Segurança da Informação:

- Confidencialidade:

- Refere-se à garantia de que apenas as pessoas as quais devam ter conhecimento legitimamente sobre um assunto terão acesso ao mesmo.

- Integridade:

- Refere-se à proteção da informação contra alterações em seu estado original, sejam elas intencionais ou acidentais.

- Disponibilidade:

- Refere-se a garantia de que a informação só possa ser acessada por aqueles que dela necessitam e no momento em que precisam.

Pilares da Segurança da Informação:

- Outros aspectos:

- Autenticidade:

Garantia

de

que

as

entidades

(informações,

máquinas,

usuários) identificadas em um processo de comunicação como remetentes ou autores sejam exatamente o que dizem ser e que a mensagem ou informação não tenha sido alterada após o seu envio ou validação.

Pilares da Segurança da Informação:

-Outros aspectos:

- Legalidade:

É a legalidade das informações dentro de um processo de

um acordo ou

comunicação,

legislação.

em

que

todos

os

ativos

seguem

Conceitos Relacionados à Segurança:

- Ativo; - Informação;

- Ciclo de vida da informação:

- Produção;

- Armazenamento;

- Transporte;

- Descarte.

- Ativo; - Informação; - Ciclo de vida da informação: - Produção; - Armazenamento; - Transporte;

Condições que afetam a informação:

Ameaças:

São

condições,

eventos

ou

agentes

que

podem

causar

incidentes que comprometam as informações e seus ativos por meio da exploração de vulnerabilidades e que tragam prejuízos a

confidencialidade, integridade e disponibilidade da informação.

Ameaças físicas:

Ameaças físicas: Inundações Incêndios Tempestades eletromagnéticas

Inundações

Ameaças físicas: Inundações Incêndios Tempestades eletromagnéticas

Incêndios

Ameaças físicas: Inundações Incêndios Tempestades eletromagnéticas

Tempestades

eletromagnéticas

Ameaças Humanas

Ameaças Humanas Engenharia Social Hackers “Usuários” Ladrão

Engenharia

Social

Ameaças Humanas Engenharia Social Hackers “Usuários” Ladrão

Hackers

Ameaças Humanas Engenharia Social Hackers “Usuários” Ladrão

“Usuários”

Ameaças Humanas Engenharia Social Hackers “Usuários” Ladrão

Ladrão

Ameaças Tecnológicas

Ameaças Tecnológicas SPAM Malwares F r a u d e s

SPAM

Ameaças Tecnológicas SPAM Malwares F r a u d e s

Malwares

Ameaças Tecnológicas SPAM Malwares F r a u d e s

Fraudes

Condições que afetam a informação:

Vulnerabilidades:

São fragilidades existentes ou associadas a ativos que processam informações e que se explorados podem comprometer a segurança da informação.

Vulnerabilidades Físicas

Vulnerabilidades Físicas Vazamentos Superaquecimento Proteção inadequada

Vazamentos

Vulnerabilidades Físicas Vazamentos Superaquecimento Proteção inadequada

Superaquecimento

Vulnerabilidades Físicas Vazamentos Superaquecimento Proteção inadequada

Proteção

inadequada

Vulnerabilidades Humanas

Vulnerabilidades Humanas Inexperiência F a l h a s h u m a n a s

Inexperiência

Vulnerabilidades Humanas Inexperiência F a l h a s h u m a n a s

Falhas humanas

Vulnerabilidades Humanas Inexperiência F a l h a s h u m a n a s

Desconhecimento

técnico

Vulnerabilidades Tecnológicas

Vulnerabilidades Tecnológicas Cabeamento não estruturado Falhas tecnológicas Sistema desatualizado

Cabeamento não estruturado

Vulnerabilidades Tecnológicas Cabeamento não estruturado Falhas tecnológicas Sistema desatualizado

Falhas tecnológicas

Vulnerabilidades Tecnológicas Cabeamento não estruturado Falhas tecnológicas Sistema desatualizado

Sistema

desatualizado

Condições que afetam a informação:

Incidentes de Segurança:

Fato decorrente da ação de uma ameaça que explora uma ou mais vulnerabilidades, levando à perda ou comprometimento de um ou mais princípios da segurança da informação.

Condições que afetam a informação:

Incidentes de Segurança:

Fonte: www.rnp.br/cais
Fonte: www.rnp.br/cais

Condições que afetam a informação:

Riscos:

São probabilidades de ameaças explorarem vulnerabilidades, provocando perdas ou danos aos ativos e as informações.

Condições que afetam a informação:

Impacto:

Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio.

Impacto : Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos

Condições que afetam a informação:

Mecanismos de controle físico:

- Extintores, climatizadores, sensores;

- Cercas, portaria, roletas, circuito de tv; - Alarmes, dispositivos de biometria;

- Cabeamento estruturado, sala cofre;

- Nobreak, aterramento, pára-raios;

- Adequação das instalaçoes;

- Controle de dispositivos móveis;

- Controle de dispositivos externos;

- Tratamento no descarte de mídias, etc.

Condições que afetam a informação:

Mecanismos de controle humano:

- Divulgação da política de segurança;

- Boas práticas de segurança;

- Classificação de sigilo da informação;

- Seminários de sensibilização em segurança;

- Treinamento anti-engenharia social;

- Capacitação técnica; política de senhas;

- Termo de sigilo e uso de sistemas;

- Critérios de admissão/demissão;

- Organização de pastas lógicas, etc.

Condições que afetam a informação:

Mecanismos de controle Tecnológico:

- Criptografia, protocolos seguros;

- Assinatura digital, certificado digital;

- VPN (Rede Virtual Privada), esteganografia;

- Firewall, IDS (sistema de detecção intrusão);

- IPS (sistema de prevenção de intrusão) ;

- Sistema de backups (cópias de segurança).

Segurança de Redes:

Principais ameaças (agentes):

- Hackers;

- Espiões;

- Ladrões;

- Ex-funcionários;

- Terroristas.

Segurança de Redes:

Motivações:

- Diversão;

- Espionagem industrial;

- Vingança;

- Vaidade;

- Dinheiro.

Segurança de Redes:

- Planos de ataque:

Um agente competente desenvolve um plano de ação:

- Estudo do alvo;

- Ferramentas de escuta;

- Informações sobre o sistema e sobre a rede;

- Vulnerabilidades de código remoto;

- Vulnerabilidades de sistemas, serviços de rede e falhas de configuração de equipamentos, etc.

Engenharia Social:

- É um método em que o agente se utiliza da persuasão.

Engenharia:

- Construção de táticas de acesso a informações críticas.

Social:

-

Os

alvos

sociedade.

são

pessoas

com

papéis

bem

definidos

na

Engenharia Social:

- Utilizam técnicas de PNL (Programação Neurolinguística) ou

técnicas de “leitura” do comportamento humano;

- Requer habilidades psico-sociais;

- Esta técnica permite obter informações críticas de forma simples e efetiva: Apenas perguntando!

Engenharia Social:

- Explora o comportamento humano (elo mais fraco):

- Ingenuidade/despreparo;

- Confiança;

- Medo;

- Ambição;

- Vaidade;

- Ira.

o comportamento humano (elo mais fraco): - Ingenuidade/despreparo; - Confiança; - Medo; - Ambição; - Vaidade;

Engenharia Social:

- Técnicas:

- Estuda o alvo e aprende seus comportamentos;

- Aprende linguagem e traquejos utilizados no meio profissi-

onal;

- Falsidade ideológica/estelionato;

- Disfarces;

- Uso de autoridade;

onal; - Falsidade ideológica/estelionato; - Disfarces; - Uso de autoridade; - Técnicas e ferramentas tecnológicas.

- Técnicas e ferramentas tecnológicas.

Engenharia Social:

- Contra medidas:

- Controlar o fator humano;

- Treinamentos anti engenharia social;

- Emprego de Políticas de Segurança.

Política de Segurança:

Política de Segurança: - Regula como deve ser gerenciada e protegida a informação, recursos e usuários;

- Regula como deve ser gerenciada e protegida a informação, recursos e usuários;

- Estabelece padrões, responsabilidades e critérios para todo o ciclo de vida da informação;

- Deve-se observar os controles previstos na NBR 27002.

Direito Digital

Tópico:

- Crimes envolvendo segurança e computação.

- Legislação concernente ao tratamento e proteção da informação.

- Exercícios.

Crimes Envolvendo Segurança e Computação: - O desenvolvimento da T.I e a popularização da Internet

Crimes Envolvendo Segurança e Computação:

- O desenvolvimento da T.I e a popularização da Internet transformou a forma como a sociedade lida com a informação;

- Com a nova cultura calcada na tecnologia surgem também novos atos ilícitos ou a reconfiguração de crimes convencionais:

- Acesso a computadores de forma não autorizadas;

- Fraudes pela Internet/Estelionato;

- Crimes de danos/saques bancários on-line;

- Espionagem industrial;

- Pedofilia.

Crimes

Computação:

Envolvendo

Segurança

e

Tipificação dos crimes:

A tipificação requer apreciação cuidadosa:

Ausência

de

legislação

específica

para

tratar

determinados casos dentro de ambiente cibernético;

Código Penal: Não há crime sem lei anterior que o defina, nem há pena sem prévia cominação legal.

A maior parte dos incidentes de segurança da informação e atos ilícitos envolvendo ambiente cibernético ou digital ainda é tratada sob a óptica do contexto convencional, como fraude, falsificação, estelionato, entre outros crimes.

Crimes Envolvendo Segurança e Computação:

Crime comum versus crime computacional

- Não há um consenso na doutrina nacional ou estrangeira sobre a definição de crime puro de Informática;

- No trabalho de [Gomes] define-se como crime puro de Informática toda a ação típica, antijurídica perpetrada com o uso de equipamentos de informática contra os dados que se encontram em processamento eletrônico ou em transmissão;

- Segundo [Parker], como definição do que seria um crime

cibernético, pode-se citar: “qualquer incidente ligado à tecnologia do computador, no qual uma vítima sofreu, ou poderia ter sofrido,

um prejuízo, e um agente teve, ou poderia ter tido, vantagens”.

Crimes Envolvendo Segurança e Computação:

Legislação:

A incidência cada vez maior das fraudes, crimes cibernéticos e a necessidade de legislação específica para tratar o assunto alavancaram vários projetos de leis relacionados à segurança da informação em formato digital, porém, vários deles ainda estão em revisão ou tramitação no Congresso Nacional;

outras

necessitam de subsídio técnico ou mesmo sustentação jurídica.

Muitas

questões

ainda

são

polêmicas

e

Crimes Envolvendo Segurança e Computação:

Legislação:

Existem alguns “crimes cibernéticos” que se enquadram em classificações criminosas conhecidas:

Crimes contra a honra:

- Calúnia, do Código Penal Art. 138.

- Difamação, do Código Penal Art. 139.

- Injúria, do Código Penal Art. 140.

Crimes Envolvendo Segurança e Computação:

Ataques e invasões:

- Escutas Telemáticas (sniffers),

9.296/96.

CF/1988 art.

+

Lei

Produção de danos mensuráveis:

- Estelionato, Código Penal Art. 171.

- Falsidade ideológica, Código Penal Art. 307.

Crimes Envolvendo Segurança e Computação:

Inviolabilidade dos segredos:

-

Divulgar

segredos

de

sistemas

de

informações

da

Administração Pública, Lei n° 9.983/2000;

- Violação de sigilo de operação ou de serviço prestado por instituição financeira, Lei n° 7.492/1986.

Crimes Praticados por Funcionário Público :

- Inserção de dados falsos, Lei n° 9.983/2000;

- Modificação não autorizada, Lei n° 9.983/2000; - Acesso não autorizado, Lei n° 9.983/2000;

Crimes Envolvendo Segurança e Computação:

Direitos do autor:

- Obra literária, artística ou científica, Lei n° 5.988/1973 + Lei n° 9.610/1998;

- Software como produção intelectual, Lei n° 5.988/1973 + Lei n° 9.609/1998.

Crimes ambientais:

- Ordenamento Urbano, Patrimônio Histórico, Artístico e Cultural, Lei n° 9605/1998

Crimes Envolvendo Segurança e Computação:

Pornografia Infantil:

- Publicar ou fotografar, Lei n° 8069/1990 (Estatuto da Criança e do Adolescente - ECA);

- Apresentar, produzir, vender, fornecer, divulgar ou publicar fotografias ou imagens com pornografia, Lei n° 10.764/2003 e Lei Nº

11.829/2008.

Questões cíveis:

- Contratos feitos pela Internet;

- Danos morais e materiais.

Legislação Concernente ao Tratamento e Proteção da Informação:

Constituição Federal de 1988

Art. 5º. Todos são iguais perante a lei (…)

X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas (…)

XII

-

é

comunicações telefônicas (…).

inviolável

o

telegráficas,

sigilo

da

de

dados

.

correspondência

e

das

das

comunicações

e

Segurança de Sistemas Computacionais

Políticas de Segurança

Desenvolver e publicar as normas de segurança da informação que regem o ambiente de trbalho da empresa. (por exemplo, CMMI nivel 2)

Backups.

Plano de Contingência: ocorreu a falha ou ataque. O que se deve fazer?

Acesso físico controlado às dependências da Administração de TI.

Segurança de Sistemas Computacionais

Criptografia

Do grego cryptos = esconder.

Tipos:

Simétrica: utiliza apenas uma chave (código) para criptografar e descriptografar os dados. Assimétrica: utiliza duas chaves, uma pública e outra privada, para criptografar e descriptografar os dados.

Chaves são valores numéricos gerados a partir de algoritmos de criptografia. Geralmente números primos grandes, de difícil cálculo.

Esteganografia

Esteganografia  Esteganografia: termo originado das palavras gregas steganos = coberto + graphos = grafia 

Esteganografia: termo originado das palavras gregas steganos = coberto + graphos = grafia

A Esteganografia é a comunicação secreta por ocultação de mensagem.

é a comunicação secreta por ocultação de mensagem. “O impulso para descobrir segredos está profundamente

“O impulso para descobrir segredos está profundamente enraizado na natureza humana. Mesmo a mente menos curiosa é estimulada pela perspectiva de compartilhar o conhecimento oculto aos outros” (John Chadwick).

Esteganografia

Esteganografia x Criptografia

Criptografia - esconde o conteúdo da mensagem. Normalmente é conhecida a existência da mensagem.

Esteganografia - esconde a existência da mensagem.

Segurança adicional pode ser obtida combinando-se:

esteganografia + criptografia.

Esteganografia x Criptografia

Esteganografia x Criptografia

Esteganografia x Criptografia Esteganografia x Criptografia Criptografia  Mensagem cifrada com operações

Criptografia

Mensagem cifrada com operações matemáticas

x Criptografia Criptografia  Mensagem cifrada com operações matemáticas Esteganografia  Mensagem oculta

Esteganografia

Mensagem oculta

Esteganografia

Ganhando popularidade na indústria

Marca D’água: autores de imagens, músicas e softwares podem esconder uma marca registrada em seu produto.

Impressão Digital: esconder números de série ou um conjunto de características que diferenciam um objeto de seu similar.

Atualmente é utilizada na luta contra a pirataria, ataques e terrorismo cibernético.

Esteganografia

Exemplo: Escrever uma mensagem com suco de limão, esperar secar e aquecer o papel.

Esteganografia  Exemplo : Escrever uma mensagem com suco de limão, esperar secar e aquecer o

Antes

Esteganografia  Exemplo : Escrever uma mensagem com suco de limão, esperar secar e aquecer o

Depois

Esteganografia

Grécia antiga (Século V a.C.) - Primeiro relato

Histiaeus era prisioneiro do Rei Dario e enviou uma mensagem para seu cunhado tatuada na cabeça de seu escravo.

Demeratus notificou Sparta que os Xerxes iriam invadiar a Grécia e escreveu uma mensagem numa mesa e a cobriu com cera.

2 a Guerra Mundial - os alemães escondiam mensagens utilizando tinta invisível, tais como, suco de frutas, leite e urina.

As mensagens eram escondidas nas linhas em branco entre linhas de textos aparentemente inofensivos.

Esteganografia

A Esteganografia pode ser utilizada em textos, imagens, áudio e mais recentemente em pacotes TCP/IP.

imagens, áudio e mais recentemente em pacotes TCP/IP.  A imagem da esquerda possui (8.0Kb) e
imagens, áudio e mais recentemente em pacotes TCP/IP.  A imagem da esquerda possui (8.0Kb) e

A imagem da esquerda possui (8.0Kb) e não contém dados escondidos.

A imagem da direita possui (13.0Kb) e contém 5Kb de textos escondidos.

Esteganografia em imagens

Técnicas:

Bit menos significativo

A letra “A” (10000011) pode ser escondida em 3 pixels (imagem de 24 bits)

Pixels originais:

(00100111 11101001 11001000)

(00100111 11001000 11101001)

(11001000 00100111 11101001)

Pixels alterados:

(00100111 1110100 1 1100100 0 )

(00100110 1100100 0 1110100 0 )

(11001000 0010011 1 1110100 1 )

(00100111 1110100 1 1100100 0 )  (0010011 0 1100100 0 1110100 0 )  (1100100

Esteganografia em imagens

A imagem da direita contém o texto completo de cinco peças de Shakespeare incorporado (700 KB).

de cinco peças de Shakespeare incorporado (700 KB). Figura + (Hamlet, Macbeth, Julius Caesar, Merchant of
de cinco peças de Shakespeare incorporado (700 KB). Figura + (Hamlet, Macbeth, Julius Caesar, Merchant of

Figura + (Hamlet, Macbeth, Julius Caesar, Merchant of Venice, King Lear)

Segurança de Sistemas Computacionais

Tipos de Criptografia

Simétrica

Segurança de Sistemas Computacionais  Tipos de Criptografia Simétrica

Segurança de Sistemas Computacionais

Criptografia

Assimétrica

Segurança de Sistemas Computacionais  Criptografia Assimétrica

Segurança de Sistemas Computacionais

Internet Firewall

Restringe acessos a um local controlado.

Impede que invasores acessem informações locais.

 Internet Firewall Restringe acessos a um local controlado. Impede que invasores acessem informações locais.

Internet Firewall

O que um firewall pode fazer?

Forçar política de segurança.

Registrar todo o tráfego de entrada e saída da rede.

Limitar riscos.

Melhorar o desempenho da rede.

Um firewall é um foco de decisões.

O que um firewall não pode fazer?

Proteger contra pessoas internas.

Proteger contra conexões que não passam por ele.

Proteger contra novos caminhos para sites bloqueados.

Internet Firewall

Como funcionam?

Bloqueiam o acesso a recursos baseado em critérios, como:

Protocolo (TCP, UDP, HTTP, FTP, etc.) Endereços IP; Números de Portas destino e/ou origem;

em critérios, como: Protocolo (TCP, UDP, HTTP, FTP, etc.) Endereços IP; Números de Portas destino e/ou

Internet Firewall

Não é permitido o tráfego direto dos PCs com a Internet;

Todo o tráfego passa pelo Firewall;

Firewall Proxy = Firewall de camada de aplicação, “abre” os pacotes que por ele passam para verificar o cumprimento de determinadas regras. Também criam uma Cache com o conteúdo mais acessado pelos usuários. Mantém logs de acesso.

de determinadas regras. Também criam uma Cache com o conteúdo mais acessado pelos usuários. Mantém logs

Internet Firewall

Existem diversas variações de arquiteturas, que se adaptam ao tipo de rede/empresa;

Deve ser considerado como uma solução de segurança que não é única, e sim complementada por outras estratégias;

Adiantando-se ao ataque:

Sistemas de detecção de intrusos; Análise de vulnerabilidades; Treinamento adequado dos usuários.

Internet Firewall

Como tratar incidentes de segurança?

Mantenha a calma!

Comece a documentar o ocorrido e as suas próprias ações.

Resgate os backups.

Informar a comunidade de TI sobre o caso.

Segurança de Sistemas Computacionais

Áreas de pesquisa:

Segurança para dispositivos móveis em geral;

Segurança em redes convergentes e Ad Hoc;

Segurança em WPAN – Wireless Personal Area Networks (Ex. Bluetooth, WUSB e UWB).

Segurança em redes wireless de banda larga (Ex. WiMax).