Pe n sa ndo e m

Vu ln e r a bilida de s,
Am e a a s e Riscos

Obj et ivos
Avaliar am eaas e riscos segurana
de redes.
Aps concluir est e capt ulo, voc
est ar preparado para execut ar as
seguint es t arefas:

Tarefas
I dent ificar as necessidades de
segurana de rede.
I dent ificar algum as das causas dos
problem as de segurana de rede.
I dent ificar caract erst icas e fat ores
m ot ivadores de invaso de rede.

Tarefas
I dent ificar as am eaas m ais
significat ivas na segurana de rede.
Conceit uar vulnerabilidade, am eaa,
risco e gerenciam ent o de risco.

Por que segurana ... ?

Porque para garant ir a segurana nos
negcios preciso at ualizar
const ant em ent e as defesas para
reduzir a vulnerabilidade s am eaas
inovadoras dos invasores.

Desafios
Se gu r a n a difcil de ser
im plem ent ada uniform em ent e em
t oda a em presa.
Escolha de um a alt ernat iva ou
com binao adequada de diversas
opes de solues.

Desafios
Escolher ent re vrias opes
diferent es e disponveis e adot ar
aquelas que sat isfaam os requisit os
exclusivos da rede e dos negcios.

Desafios

Os produt os diferent es devem ser

int egrados em t oda a em presa a fim
de se at ingir um a nica polt ica de
segurana est vel.

Porque t em os problem as de
segurana
Fragilidade da Tecnologia
Fragilidade de Configurao
Fragilidade da Polt ica de Segurana

Fragilidade da Tecnologia
TCP/ I P
Sist em a Operacional
Equipam ent os de Rede

Fragilidade de Configurao

So problem as causados pelo fat o de

n o se con figu r a r e qu ipa m e n t os
in t e r liga dos para im pedir problem as
de segurana conhecidos ou
provveis.

Fragilidade de Configurao
Consideraes default inseguras nos
produt os.
Equipam ent o de rede configurado
equivocadam ent e.
Cont as de usurios inseguras.
Cont as de sist em as com senhas
previsveis.

Fragilidade do Equipam ent o de

Rede
Prot eo de senha insegura
Falhas de aut ent icao
Prot ocolos de Rot eam ent o
Brechas no Firewall

Fragilidades da Polt ica de

Segurana
Falt a de um a polt ica escrit a.
Polt icas int ernas
Falt a de cont inuidade dos negcios
Cont roles de acesso para equipam ent os de
rede no so aplicados.
A adm inist rao de segurana negligent e,
inclusive a m onit orao e a audit oria.

Fragilidades da Polt ica de

Segurana
Falt a de conhecim ent o sobre at aques.
Alt eraes e inst alao de soft ware e
hardware no seguem a polt ica.
Falt a de Planej am ent o de
Cont ingncia.

Conhea seus invasores

Scr ipt Kiddie

No possuem m uit a habilidade.
Mas t eve a sort e de encont rar um
sist em a rem ot o que no aplicou o
pat ch de correo a t em po.

Script Kiddie

So bons na razo inversam ent e

proporcional negligncia de
adm inist radores/ usurios que no
acom panham list as de segurana e dem ais
pginas de fornecedores ou CERT
( Com put er Em ergency Response Team )

Script Kiddie
Um invasor que faz int ruso vinculada a
um a falha conhecida.
No buscam inform aes e/ ou m quinas
especficas. Ou sej a, ganhar acesso de
root .
Bast a t er acesso para desconfigurar hom e
pages de form a m ais fcil possvel.

Script Kiddie
Sua t cnica consist e em ficar
revirando a I nt ernet at rs de
m quinas vulnerveis e fazer
exploraes com exploit s,
ferram ent as que perm it am explorar
as falhas em servios.

Script Kiddie
Podem desenvolver suas prprias
ferram ent as.
Exist em os que no conhecem
nenhum a t cnica, e t udo o que
sabem execut ar as ferram ent as
fornecidas por out ro script kiddie.

Cracker
Um invasor de bons conhecim ent os
t cnicos e assim sendo, ele ser capaz de
apagar seus rast ros de m aneira m ais sut il.
Se caract eriza pelo alt o nvel t cnico, na
m edida em que cada passo da invaso
realm ent e est udado e bem pensado.

Cracker
Busca dados com o configuraes padres ou
senhas padres que ele possa explorar.
Tem capacidade para desenvolve seus prprios
exploit s. So geniais e criat ivos para a m
int eno.
Realiza at aques int eligent es para
com prom et er a segurana da rede.

Cracker
Suas at it udes furt ivas podero
enganar at aos m ais experient es
adm inist radores.
So os verdadeiros invasores
( int rusos) ou at m esm o crim inosos
cibernt icos.

Hacker
Um program ador apaixonado.
Const roem e t ornam o m undo m elhor.
Exem plos:
St allm an, Linus Torvalds, Ada Lovelace,
Douglas Engelbart , Dennis Rit chie, Ken
Thom pson, Arnaldo Melo, Marcelo Tossat i, Alan
Cox, ... ...
No so ft eis desconfiguradores de pginas.

Hacker
( Hacking ou Hacking t ico)
Program ador ou adm inist rador que se
reserva a quest ionar os problem as de
segurana nas t ecnologias disponveis e as
form as de provar o conceit o do que
discut ido.

Hacker t ico
Um a pessoa que invest iga a int egridade e a
segurana de um a rede ou sist em a
operacional.
Usa o conhecim ent o avanado sobre SW e
HW para ent rar no sist em a at ravs de
form as inovadoras.

Hacker t ico
Com part ilha seu conhecim ent o
grat uit am ent e at ravs da I nt ernet .
No usa de m s int enes. Tent a
oferecer um servio com unidade
int eressada.

Conceit o de I nvasor
Script Kiddie
Cracker
Hacker
Phracker ( pessoas que fazem acesso no
aut orizado a r e cu r sos de
t e le com u n ica e s)

Caract erst icas de um I nvasor

Sabem codificar em vrias linguagens
de program ao.
Conhecim ent os aprofundados sobre
ferram ent as, servios e prot ocolos.
Grande experincia com I nt ernet .
Conhecem int im am ent e pelo m enos
dois Sos.

Caract erst icas de um I nvasor

Tm um t ipo de t rabalho que usa redes.
Usam equipam ent os com o se fossem m odo
de vida.
Colecionam SW e HW.
Tm vrios com put adores para t rabalhar.

Mot ivos para am eaas

Explorao de em oes ( Not oriedade,
Diverso) .
Concorrncia de m ercado
I nim igos polt icos
Ladres ( at ividades furt ivas)
Espies ( Espionagem indust rial)

Mot ivos para am eaas

Funcionrios host is:
em pregados ou ant igos em pregados,
vingana, at aque de Troca de Senhas
ou Sesses Abert as)
I nvest igao legal.

Vulnerabilidades
Ausncia de prot eo cobrindo um a
ou m ais am eaas.
Fraquezas no sist em a de prot eo.
Vu ln e r a bilida de s s o
cla r a m e n t e a ssocia da s com
a m e a a s.

Exem plos
A a m e a a a a ce sso n o a u t or iza do
est ligada a con t r ole s de a ce sso
in a de qu a dos.
A a m e a a de pe r da de da dos
cr t icos e apoio ao processam ent o se
deve ao pla n e j a m e n t o de
con t ing n cia in e fica z.

Exem plo

A a m e a a de in c n dio est
associada a vulnerabilidade da
pr e ve n o con t r a in c n dio
in a de qu a da .

Bens
Be n s Ta n gve is
Aqueles que so paupveis: HW, SW,
suprim ent os, docum ent aes, ...
Be n s I n t a n gve is
Pessoa, reput ao, m ot ivao, m oral,
boa vont ade, oport unidade, ...

Bens
Os bens m ais im port ant es so as
in for m a e s.
I n for m a e s ficam em algum lugar
ent re os bens t angveis e os
int angveis.

I nform aes Sensveis

I n for m a e s, que se pe r dida s, m al
usadas, acessadas por pessoas n o
a u t or iza da s, ou m odifica da s,
podem prej udicar um a organizao,
quant o ao funcionam ent o de um
negcio ou a privacidade de pessoas.

O que um a a m e a a ?
Um a a m e a a algum fat o qu e pode
ocor r e r e a ca r r e t a r a lgu m pe r igo
a um bem .
Tal fat o, se ocorrer, ser causador de
perda.
a t e n t a t iva de u m a t a qu e .

Agent e de um a am eaa
um a ent idade que pode iniciar a
ocorrncia de um a am eaa.
Ent idade: um a pessoa:
invasor / int ruso

Am eaas No- I nt encionais

Erros hum anos,
Falhas em equipam ent os,
Desast res nat urais,
Problem as em com unicaes.

Am eaas I nt encionais
Furt o de inform ao,
Vandalism o,
Ut ilizao de recursos, violando as
m edidas de segurana.

I m pact o
Result ados indesej ados da ocorrncia
de um a am eaa cont ra um bem , que
result a em perda m ensurvel para
um a organizao.
Quase t odo r isco t em um im pact o,
em bora de difcil previso.

Risco
um a m edida da pr oba bilida de da
ocor r n cia de u m a a m e a a .
a probabilidade do event o causador de
perda ocorrer.
Oficialm ent e, u m r isco cor r e spon de a o
gr a u de pe r da .

Am eaas, Riscos, Severidade

Am eaas variam em severidade.
Se ve r ida de : grau de dano que a
ocorrncia de um a am eaa pode
causar.
Riscos variam em probabilidade.

Tipos de Am eaas Segurana

Acesso no- aut orizado
Reconhecim ent o
Recusa de Servio
Manipulao de Dados

Acesso No- Aut orizado

Obj et ivo: obt er acesso com o
adm inist rador num com put ador
rem ot o.
Cont rolar o com put ador de dest ino
e/ ou acessar out ros int erligados.

Form as de Acesso NoAut orizado

Acesso inicial
Com base em senhas
Privilegiado
Acesso secundrio
Perm isso de acesso rem ot o
Vulnerabilidades de program a
Arquivos no aut orizados

Reconhecim ent o

Monit oram ent o de vulnerabilidades,

servios, sist em as ou t rfego de rede,
no sent ido de levant ar inform aes
visando um at aque fut uro.

Form as de Reconhecim ent o

Varreduras de port a
I nvest igao:
- observao passiva do t rfego de rede
com um ut ilit rio, visando padres de
t rfego ou capt urar pacot es para anlise e
furt o de inform ao.
- Snooping de rede ( sniffing de pacot es)

Recusa de Servio
Denial of Service ( DoS)
Tent at iva de desat ivar ou corrom per
servios, sist em as ou redes, no
sent ido de im pedir o funcionam ent o
norm al.

Form as de Recusa de Servio

Sobrecarga de recurso
Dist ribut ed Denial of Service
Bom bas de em ail

Manipulao de Dados
Capt ura, alt erao e repet io de
dados at ravs de um canal de
com unicao.
Falsificao de I P
Repet io de sesso
Repdio

Falsificao de I P
Ocorre quando um invasor da fora de
um a rede, finge ser um com put ador
confivel dent ro da rede.
O I P usado est dent ro do int ervalo
da rede invadida, ou usado um I P
ext erno aut orizado, confivel, e para
o qual disponibilizado acesso a
recursos na rede.

Falsificao de I P
Ocorre at ravs da m anipulao de
pacot es I P.
Um endereo I P de origem de um
com put ador confivel, falsificado
para assum ir ident idade de um a
m quina vlida, para obt er privilgios
de acesso no com put ador invadido.

Segurana da I nform ao
Som ent e pe ssoa s de vida m e n t e
a u t or iza da s devem est ar habilit adas
a le r , cr ia r , a pa ga r ou m odifica r
inform aes.
Con t r ola r o a ce sso s inform aes.

Cont role de acesso: quat ro

requisit os
( 1) Mant er confidenciais inform aes
pessoais sensveis ( pr iva cida de ) .
( 2) Mant er int e gr ida de e preciso
das inform aes e dos program as que
a gerenciam .

Cont role de acesso: quat ro

requisit os
( 3) Garant ir que os sist em as, inform aes e
servios est ej am disponveis ( acessveis)
para aqueles que devem t er acesso.
( 4) Garant ir que t odos os aspect os da
operao de um SI est ej am de acordo com
as leis, regulam ent os, licenas, cont rat os e
princpios t icos est abelecidos.

Sobre requisit os
I m pedir acesso a alguns usurios
( requisit o 1) e aut orizar fcil acesso a
out ros ( requisit o 3) requer filt r a ge m
m uit o bem feit a.
Filt r a ge m , corresponde a int roduo
de con t r ole s de se gu r a n a que
visem a reduzir riscos.

Confidencialidade
I nt egridade
Acessibilidade
Leis / t ica

Am eaas
Cavalos de Tria
Vrus
Worm s
Vazam ent o de I nform aes
Elevao de Privilgios
Pirat aria
Falhas de Hardware
Fraude

Am eaas
Falsificao
Backdoor
Desfalque
I ncndios ou Desast res Nat urais

Am eaas
Erros de Program adores
Sniffers
Ent rada I nesperada
Furt o de inform ao

Cavalo de Tria
Program a que se apresent a
execut ando um a t arefa e na realidade
faz out ra.
Am eaa : C, I , A.
Preveno: m uit o difcil.
Det eco: pode ser m uit o difcil.
Severidade: pot encialm ent e m uit o
elevada.

Vrus
um program a que infect a out ros
program as por m odific- los. A
m odificao inclui um a cpia do vrus,
o qual pode ent o infect ar out ros.
Am eaa : I , A
Preveno: pode ser difcil.
Det eco: norm alm ent e im ediat a.
Severidade: pode ser baixa ou
pot encialm ent e m uit o elevada.

Worm s
um program a usa conexes de rede para
se espalhar de sist em a a sist em a.
Um a vez at ivo, um worm pode com port ar- se
com o a vrus, pode im plant ar program as
cavalos de t ria ou realizar qualquer ao
dest rut iva.
Um worm se replica usando facilidade de
em ail, capacidade de execuo rem ot a e
capacidade de login rem ot o.

Worm s
Am eaa : I nt egridade,
Acessibilidade.
Preveno: pode ser difcil.
Det eco: norm alm ent e im ediat a,
at ravs de ant ivrus.
Severidade: pode ser baixa ou
pot encialm ent e m uit o elevada.

Pirat aria de Soft ware

Cpia ilegal de soft ware e
docum ent ao e re- em balagem para
com ercializao.
Am eaa : Leis / t ica
Preveno: m uit o difcil.
Det eco: Pode ser difcil.
Frequncia: ext rem am ent e com um .
Severidade: Pot encialm ent e m uit o
elevada.

Erros de Program adores

Erros nat urais de program ao ao
codificar, provocando bugs em
propores alarm ant es.
Am eaas : C, I , A
Preveno im possvel.
Det eco: s vezes difcil
Frequncia: com um .
Severidade: pot encialm ent e m uit o
elevada.

Sniffers
Program as que podem ler qualquer
aspect o de t rfego em um a rede,
com o por exem plo, capt urando
senhas, em ails e arquivos.
Am eaa : Confidencialidade.
Preveno: im possvel.
Det eco: possivelm ent e det ect ados.
Severidade: pot encialm ent e m uit o
elevada.

Desfalque
Norm alm ent e se refere a furt o de
dinheiro.
Am eaa : int egridade e recursos.
Preveno: difcil.
Det eco: pode ser difcil.
Frequncia: desconhecida.
Severidade: pot encialm ent e m uit o
elevada.

Fraude
Qualquer explorao de um sist em a
de inform ao t ent ando enganar um a
organizao ou t om ar seus recursos.
Am eaa : I nt egridade.
Preveno: difcil.
Det eco: difcil.
Frequncia: desconhecida.
Severidade: pot encialm ent e m uit o
elevada.

Falsificao
Criao ilegal de docum ent os ou
regist ros, int encionalm ent e produzidos
com o reais.
Am eaa : I e out ros recursos.
Preveno: pode ser difcil.
Det eco: pode ser difcil.
Frequncia: desconhecida.
Severidade: pot encialm ent e m uit o
elevada.

Backdoor
Um program a que colocado num a
m quina, com o se fosse um servio
associado a um a port a, m as que t em
a incum bncia de fazer um a int ruso.
Am eaa : C. I , A.
Preveno: m uit o difcil.
Det eco: possivelm ent e det ect vel.
Severidade: pot encialm ent e m uit o
elevada.

Cont roles e Prot ees

Con t r ole s so procedim ent os ou m edidas
que reduzem a probabilidade associada aos
riscos.
Pr ot e e s so cont roles fsicos,
m ecanism os, ou polt icas, que prot egem os
bens de am eaas.
Ex e m plos de pr ot e o: alarm es, senhas,
cont roles de acesso.

Cust os das Medidas

Os gast os com segurana devem ser
j ust ificados com o qualquer out ro.
A chave para selecionar m edidas de
seguranas adequadas a habilidade
de est im ar a reduo em perdas
depois da im plem ent ao de cert as
prot ees.

Cust o- Benefcio
Um a anlise de cust o- benefcio
perm it e j ust ificar cada prot eo
propost a.
O cust o das m edidas de segurana
deve ser sem pre inferior ao valor das
perdas evit adas.

Exposies

Ex posie s so reas da rede com

probabilidade de qu e br a m aior que
out ras.

Especialist a em Segurana
Apresent ar con t r ole s pa r a
m odifica r a s e x posie s, de m odo
que t odos os event os de det erm inada
severidade t enham a m esm a
probabilidade.
M inim iza r o cu st o de con t r ole s, ao
m esm o t em po, m a x im iza n do a
r e du o de e x posie s.

Gerenciam ent o de Riscos

Espect ro de at ividades, incluindo os
cont roles, procedim ent os fsicos,
t cnicos e adm inist rat ivos, que levam
a solues de segurana de baixo
cust o.

Gerenciam ent o de Riscos

Procura obt er as prot ees m ais
efet ivas cont ra am eaas int encionais
( deliberadas) ou no int encionais
( acident ais) cont ra um sist em a
com put acional.

Gerenciam ent o de Riscos

Tem quat ro part es fundam ent ais.
An lise de Risco ( det erm inao de
risco)
Se le o de Pr ot e o
Ce r t ifica o e Cr e de n cia m e n t o
Pla n o de Con t in g n cia

Anlise Risco
Pedra fundam ent al da gerncia de
riscos.
Procedim ent os para est im ar a
probabilidade de am eaas e perdas
que podem ocorrer devido a
vulnerabilidade do sist em a.

Anlise de Risco

O propsit o aj udar a det ect ar

prot ees de baixo cust o e prover o
nvel de prot eo necessrio.

Seleo de Prot eo
Os gerent es devem selecionar
prot ees que dim inuem cert as
am eaas.
Devem det erm inar um nvel de risco
t olervel e im plem ent ar prot ees de
baixo cust o para reduzir perdas em
nvel aceit vel.

Seleo de Prot eo
As prot ees podem at uar de diversos
m odos:
- Reduzir a possibilidade de ocorrncia
de am eaas.
- Reduzir o im pact o das ocorrncias das
am eaas.
- Facilit ar a recuperao das
ocorrncias das am eaas.

Seleo de Prot eo
A gerncia deve focalizar reas que
t m grande pot encial para perdas.
As prot ees devem t er boa relao
cust o- benefcio, ist o , t razer m ais
ret orno que os gast os com
im plem ent ao e m anut eno.

Cert ificao
Podem ser im port ant es elem ent os da
gerncia de risco.
Cert ificao ve r ifica o t cnica de
que as prot ees e cont roles
selecionados so adequados e
funcionam corret am ent e.

Credenciam ent o

Cr e de n cia m e n t o a aut orizao

oficial para operao, correes de
segurana ou suspenso de cert as
at ividades.

Plano de Cont ingncia

Event os indesej ados acont ecem ,
independent e da eficincia do program a de
segurana.
Perm it e um a respost a cont rolada que
m inim iza danos e recupera operaes o
m ais rpido possvel.

Plano de Cont ingncia

um docum ent o ou conj unt o de
docum ent os que perm it em aes
ant es, durant e, e depois da
ocorrncia de event o no desej ado
( desast re) que int errom pe operaes
da rede.

Avaliando am eaas
Exem plos ( m at erial escrit o,
dist ribudo em aula)
Caract erizando am eaas.
Exam inar as am eaas possveis
um a rede.