Segurança

da Informação
2007 UFG

➢ André
➢ Chrystian
➢ Fabrício
 O que é informação?

Segundo o dicionário AURÉLIO:

Informação é um dado acerca de

alguém ou algo; o conhecimento;
segundo a teoria da informação, a
medida da redução da incerteza.
 Segurança da
informação - definição

Um mecanismo de segurança da
informação providencia meios para
reduzir as vulnerabilidades
existentes em um sistema de
informação.
 Segurança da
informação – definição
Segundo a norma NBR17799, segurança
da informação pode ser definida como a
proteção contra um grande número de
ameaças às informações, de forma a
assegurar a continuidade do negócio,
minimizando danos comerciais e
maximizando o retorno de
possibilidades e investimentos.
 Inportância da
segurança de
informação

● Quanto vale a informação para uma

empresa?

● Sem informação, uma empresa pode

sobreviver quanto tempo?
 Proteção

Proteger contra:

● Destruição
● Vazamento

● Modificação

● Mau uso dos recursos

 Conceitos básicos

● Sistema de informação seguro garante:

●

● Disponibilidade
● Integridade

● Confidencialidade

● Autenticação
 Tipos de segurança

● Segurança física

● Segurança lógica
 Segurança física

● Evitar riscos tais como:

●

● Incêndios
● Inundação

● Explosões
 Segurança lógica

● Proteger pontos de rede

● Regras de controle de acesso

● Criação de logs

● "Tudo deve ser proibido a menos que

seja expressamente permitido"

● Fazer backups
 Histórico
● Desde o início da civilização humana,
sempre houve uma preocupação com as
informações e com os conhecimentos
proporcionados por ela.
 Histórico
● O processo de escrita de alguns povos
antigos já utilizavam maneiras de
garantir uma segurança nas
informações.
● Os Egito antigo usava a escrita de
hierogrifos para proteger e perpetuar
seu conhecimento.
● Primeiros métodos de criptografia
surgiram então.
 Histórico
● A preocupação aumentou
consideravelmente na era moderna, com
o surgimento dos computadores.
● Mais ainda com o surgimento do
chamado “time-sharing”,ou seja, mais
de uma pessoa utilizando o computador
ao mesmo tempo.
 Histórico
● “Time-Sharing” gerou acessos
indesejáveis a determinadas
informações.
● Exemplo: Estagiário tendo acesso a
dados do Presidente.
● Surgiu a necessidade de controlar
então esse acesso.
 Políticas de Segurança
● Primeiro problema clássico : “Como fazer
com que usuários autorizados tenham
acesso a determinadas informações, ao
mesmo tempo que, os não autorizados
não possam acessá-las.”
 Políticas de Segurança
● Primeira resposta: Criação de um novo
SO, melhor e mais aprimorado.
● Problema: A sociedade ainda não tinha
conhecimento para construí-lo.
 Políticas de Segurança
● Conjunto formal de regras que devem
ser seguidos pelos usuários de recursos
de uma organização.
● Segundo esforço para solução do
problema: em 1967 foi criado o "Security
Control for Computer System: Report of
Defense Science Boad Task Force on
computer Security", pelo DOD.
 Políticas de Segurança
● Representou o início do processo de
criação de regras para segurança da
informação.
● Culminou na publicação de uma norma
internacional de segurança da
informação no ano 2000.
 Políticas de Segurança
● Então a agência central de
inteligência,dos EUA, desenvolveu o
primeiro SO que implementava as
politicas de segurança do DOD, chamado
de ADEPT-50.
Políticas de Segurança.
● Outubro de 1972, J. P. Anderson
escreveu um relatório técnico conhecido
como: "Computer Security Technologs
Planning Study", no qual ele descreve
“todos” os problemas envolvidos no
processo de se fornecer os mecanismos
necessários para salvar e guardar a
segurança de computadores.
 Políticas de Segurança
● Este documento, combinado com os
materias produzidos por D.E. Bell e por
L. J. La Padula, e denominados "Secure
Computer Systens: Mathematical
Fundations", "Mathemathical Model", e
"Refinament of Mathematical Model",
deram origem ao que ficou conhecido
como “Doctrine”, esta por sua vez seria
a base de vários trabalhos posteriores na
área de segurança.
 Políticas de Segurança
● Paralelamente, o Coronel Roger R.
Schell, iniciou o desenvolvimento de
várias técnicas e experimentações, que
levariam ao surgimento do que ficou
conhecido como "Security Kernels" que
são os componentes principais para o
desenvolvimento de um Sistema
Operacional "Seguro".
 Políticas de Segurança
● Em 1977 o Departamento de defesa dos
Estados Unidos, formulou um plano
sistemático para tratar do Problema
Clássico de Segurança, o qual daria
origem ao "DoD Computer Security
Initiative", que, por sua vez,
desenvolveria a um "centro" para avaliar
o quão seguro eram as soluções
disponibilizadas.
 Políticas de Segurança
● A construção do "Centro" gerou a
necessidade da criação de um conjunto
de regras a serem utilizadas no processo
de avaliação, este conjunto de regras
ficaria conhecido informalmente como
"The Orange Book", devido a cor da capa
deste manual de segurança, e coronel
Roger Shell foi o primeiro diretor deste
centro.
 Politicas de Segurança
● “Orange Book”: seu desenvolvimento
teve início em 1978 mas a versão final
foi concluída apenas em 1985.
● Considerado o marco inicial da busca de
um conjunto de medidas que permitam
a um ambiente computacional ser
qualificado como seguro.
 Políticas de Segurança
● Graças as operações e ao processo de
criação do Centro de avaliação e do
"Orange Book", foi possível a produção
de uma larga quantidade de documento
"técnicos" que representaram o primeiro
passo na formação de uma norma coesa
e completa sobre a segurança de
computadores.
Políticas de Segurança
● Outro fator a ser lembrado é que o
"Orange Book", permite especificar o
que deve ser implementado e fornecido
por um software, para que ele seja
classificado em um dos níveis de
"segurança" pré-estipulados, usando
esse software como fonte de referência
para desenvolvimento de novos.
 Políticas de Segurança
● A série de documentos originados pelo
esforço conjunto dos membros do centro
é reconhecida pelo nome de "The
Rainbow Serie", cujos documentos
continuam sendo atualizados
largamente, tais documentos são
distribuídos gratuitamente pela internet.
 Políticas de Segurança
● O "The Orange Book" - marco “zero”.
● Surgimento de padrões mundiais mais
atuais de segurança não só de
computadores mas também das
informações.
● Liderado pela "International
Organization for Standardization" - ISO.
Políticas de Segurança
● No final do ano de 2000 este esforço
apresentou o seu primeiro resultado,
que e a norma internacional de
segurança da informação "ISO/IEC-
17799:2000", a qual já possui uma
versão aplicada aos países de língua
portuguesa, denominada "NBR ISO/IEC-
17799".
O futuro
● Segundo Fábio Costa, presidente da IDC Brasil, o que vem pela frente
vai depender muito de como vai evoluir a tecnologia, em especial a
tecnologia de comunicação. Nós provavelmente ainda teremos várias
experiências, em especial no mundo wireless.

● De acordo com o Sage, boletim semestral da McAfee, o spam e os

telefones celulares serão cada vez mais utilizados pelos criminosos
virtuais para aplicar fraudes.
Exemplo de caso: NBR
17799

O que é NBR 17799?

A NBR 17799 é a versão brasileira da

norma ISO, homologada pela ABNT em
setembro de 2001.
NBR 17799 - Abordagem

● Política de segurança
● Segurança organizacional

● Classificação e controle de informações

● Segurança física

● Gerenciamento das operações

● Controle de acesso

● Conformidade
Guerra
Cybernética
Conceito

➔ Corresponde ao uso ofensivo e defensivo de informações e

sistemas de informações para negar, explorar, corromper ou
destruir valores do adversário baseados em informações,
sistemas de informação e redes de computadores . Estas
ações são elaboradas para obtenção de vantagens tantona
área militar quanto na área civil.”

➔ Guerra Assimétrica = Alto Impacto + Baixo Custo

Guerra Cybernética
● Ambiente Cibernético é tratado por diversos países como um
novo teatro de guerra, juntamente com mar, ar, terra e espaço.
● tecnologia “hacker” é item bélico.
● 23 países tratam como estratégia de estado a formação
específica de grupos de “guerreiros cibernéticos” como tropa de
elite (fonte:Infowar Conference 2001)
Guerra Cybernética
èChina e Rússia vêm se destacando na formação de “guerreiros
cibernéticos”, sendo os grupos chineses os maiores
desenvolvedores de vírus e descobridores de brechas de
segurança na internet.
èUtilização intensa de sistemas de fonte aberta.
èDoutrina oriunda da Guerra Fria: conceito de estar sempre
respondendo com tecnologia de ponta.

.
Guerra Cybernética
Doutrina apresentada no Jornal do Exército
Popular da China em 1999...

“... Trazer a guerra cibernética para sistemas militares

é tão importante quanto os Poderes Naval, Terrestre e
Aéreo.”
“... É essencial que tenhamos dominado tecnologias
de desenvolvimento de programas para ataques às
redes de computadores, tornando-nos capaz de lançar
ataques e contramedidas, tais como bloqueio e
disfarce de informações...”
Guerra
Cybernética
Exercício de Guerra Cibernética em 1997 pelas FFAA dos EUA

èSimulação de uma crise internacional e um governo estrangeiro

contratando 35 hackers para neutralizar a reação dos EUA à
crise.
è Os hackers facilmente penetraram nas malhas energéticas de
todas as principais cidades dos EUA, diretamente ligadas à
capacidade deposicionamento de forças de combate, violaram o
sistema de telefonia de emergência "911" e acessaram o
sistema de Comando e Controle do Pentágono.
è Em poucos dias eles rastrearam 40.000 redes e
capturaramcompletamente 36 delas.
è Comprovou que 35 pessoas, usando informações disponíveis
publicamente, com habilidades que se encontravam disponíveis
no mundo inteiro, podiam ter impedido os EUA de responder a
uma crise.
Prova da eficácia de uma Guerra Cibernética... Eligible Receiver
Fonte: Adams, J. “The Next World War”
Guerra
Cybernética
Iniciativas Governamentais nos EUA...
➔ exemplo acadêmico: em 2002 criação na Naval Postgraduate
School (US Navy) de 10 novos cursos específicos de segurança
cibernética e uma área de estudo específica para tal.
➔ (FEV/2003) publicação da Estratégia Americana para Defesa do
CyberSpace.(The National Strategy to Secure the Cyberspace).
Fixa como prioridade 1 o estabelecimento do National
Cyberspace Security Response System (não somente
responde ou recupera um sistema de um ataque, mas detecta,
analisa e depois responde).
Guerra Cybernética
➔ Numa investigação sobre a segurança do Windows-NT, o
Cientista Chefe da Cryptonym's descobriu um backdoor para a
NSA em toda cópia do Win95-98-NT-2K.

Is Windows Wide Open to the NSA?

Reported backdoor found in Windows would
allow the National Security Agency to enter any
PC.

Elizabeth Heichler, IDG News Service

Friday, September 03, 1999
The chief scientist for a Canadian cryptography
and security firm has identified a backdoor into
Microsoft's cryptography system. He charges
that it may be intended to grant access to data
on any Windows user's system to the U.S.
National Security Agency...
Guerra Cybernética
Caso CRIPTO AG

● Graças ao relacionamento CRIPTO AG - NSA, durante décadas

os EUA interceptaram e decifraram mensagens sigilosas cifradas
de mais de 130 países.
● Estas nações haviam adquirido da CRIPTO AG a mais
sofisticada e supostamente segura tecnologia de criptografia
comercial disponível.
● Entretanto, os equipamentos da CRIPTO AG transmitiam,
automática e clandestinamente, as chaves criptográficas
utilizadas junto com asmensagens cifradas.

Fontes: Relatório do STOA ao Parlamento Europeu - abr /99

Revista CovertAction Quarterly - 97/98
Guerra Cybernética
Vulnerabilidades nacionais
ètecnologia (“know-how” & “know-why”) de segurança da
informação e guerra cibernética não se compra, se desenvolve.
èpleno domínio dos sistemas
èdependência externa
èescassez de suporte nas universidades e instituições de
pesquisa (proporção muito pequena de linhas de pesquisa
em SegInfo).
Guerra Cybernética
Vulnerabilidades nacionais
èsistemas para Infra-estrutura Nacional
(comunicações, elétrica etc.)
èobsolescência de sistemas.
èsistemas importados
èsistemas de proteção
ètestes dos planos de contingência
èinfra-estrutura de telecomunicações privatizada em empresas
estrangeiras.
Guerra Cybernética
Mitigação das vulnerabilidades
Incentivo à formação acadêmica
è intensificar adoção de software livre visando tecnologias de
segurança
è reduzir dependência externa
è áreas de pesquisa:
4SEGURANÇA DE REDES
4PROCEDIMENTOS DE SEGURANÇA
4VÍRUS, WORMS, TROJANS
4TOPOLOGIAS DE SEGURANÇA
4FIREWALLS
4SISTEMAS DE DETEÇÃO DE INTRUSOS (IDS)
4ANÁLISES DE REGISTROS (LOGS)
4ANÁLISES DE RISCO
4CRIPTOGRAFIA & CRIPTOANÁLISES (OPERACIONAL E
CERTIFICACIONAL)
Guerra Cybernética
● Exemplos:

➢ Oriente médio – Outubro/2000

➢ Estônia – Abril/2007