Escolar Documentos
Profissional Documentos
Cultura Documentos
Empresas de Segurança
CURSO DE ESPECIALIZAÇÃO EM DIREÇÂO DE SEGURANÇA
Manual d e
Segurança da
Informação
CONTEÚDOS
Por
João Magalhães Mateus
Índice
UNIDADE DIDÁCTICA 1: REQUISITOS DE SEGURANÇA ............................................................. 2
INTRODUÇÃO ............................................................................................................................................ 2
Objectivos da segurança...................................................................................................................... 3
Vertentes e Princípios da Segurança ................................................................................................... 4
Requisitos de Segurança ...................................................................................................................... 7
UNIDADE DIDÁCTICA 2: MÉTODOS DE ATAQUE ......................................................................... 9
INTRODUÇÃO ............................................................................................................................................ 9
SEGURANÇA DE SISTEMAS INFORMÁTICOS ............................................................................................. 10
Defesa contra Catástrofes ................................................................................................................. 10
Defesa contra Faltas/Falhas previsíveis ........................................................................................... 10
Defesa contra Actividades não Autorizadas ...................................................................................... 10
ATAQUES TÍPICOS ................................................................................................................................... 11
Malware ............................................................................................................................................. 11
Vírus de computador.......................................................................................................................... 11
Cavalos de Tróia (Trojan Horse) ...................................................................................................... 12
Negação de Serviço (Denial of Service - DoS) .................................................................................. 12
Phishing ............................................................................................................................................. 13
Key logger.......................................................................................................................................... 13
Spoofing ............................................................................................................................................. 14
Session Hijacking............................................................................................................................... 15
Password Attacks ............................................................................................................................... 15
UNIDADE DIDÁCTICA 3: INFRAESTRUTURA DE CHAVE PÚBLICA (PKI) ............................ 17
CRIPTOGRAFIA ........................................................................................................................................ 17
CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA ............................................................................................ 17
CHAVE PÚBLICA ..................................................................................................................................... 18
CHAVE PRIVADA ..................................................................................................................................... 18
INFRAESTRUTURA DE CHAVE PÚBLICA ................................................................................................... 19
Assinatura Electrónica ...................................................................................................................... 19
Certificado Digital ............................................................................................................................. 20
Entidade Certificadora ...................................................................................................................... 21
Autoridade Credenciadora ................................................................................................................ 21
Validação cronológica....................................................................................................................... 21
UNIDADE DIDÁCTICA 4. NORMAS E LEGISLAÇÃO APLICÁVEL ........................................... 22
NORMA ISO 27001 ................................................................................................................................. 23
Controlos com implicações legais ..................................................................................................... 24
Controlos de Boas Práticas ............................................................................................................... 24
Gestão de Activos .............................................................................................................................. 25
Gestão de operações e comunicações................................................................................................ 25
Gestão de Incidentes de Segurança ................................................................................................... 26
Riscos de Segurança .......................................................................................................................... 26
Valor de um activo ............................................................................................................................. 26
Ameaças ............................................................................................................................................. 27
Vulnerabilidades ................................................................................................................................ 27
Controlos ........................................................................................................................................... 27
LEGISLAÇÃO APLICÁVEL ........................................................................................................................ 28
UNIDADE DIDÁCTICA 5. POLÍTICA DE SEGURANÇA ................................................................ 29
Finalidade das políticas de segurança .............................................................................................. 29
Características Principais da Política de Segurança ........................................................................ 30
Como escrever uma política de segurança ........................................................................................ 30
Factores de sucesso de uma política de segurança ........................................................................... 31
Problemas identificados das políticas de segurança ......................................................................... 31
Sugestões para directrizes de segurança ........................................................................................... 32
Considerações Finais acerca da política de segurança .................................................................... 34
REFERÊNCIAS BIBLIOGRÁFICAS.................................................................................................... 35
Segurança da Informação
Introdução
Objectivos da segurança
A segurança deve ser encarada como uma opção estratégica e não apenas tecnológica. A
tecnologia serve para um objectivo, não sendo nunca um fim em si mesma.
segurança de redes;
segurança física;
segurança de computadores;
segurança do pessoal;
segurança aplicacional;
criptografia;
A protecção, por seu lado, é o conjunto das medidas que visam dotar os sistemas de
informação com capacidade de inspecção, detecção, reacção e reflexo, permitindo reduzir
e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas
medidas só actuam quando ocorre um incidente.
relação custo/benefício;
concentração;
protecção em profundidade;
consistência do plano;
redundância.
Relação Custo/Benefício
Concentração
Este princípio defende a concentração dos bens a proteger em função da sua sensibilidade.
Tem como objectivo melhorar a eficiência da gestão das medidas de protecção, reduzindo
as duplicações necessárias quando se tem de proteger diferentes repositórios de
informação sensível com requisitos de protecção idênticos.
Protecção em Profundidade
Consistência
O princípio da consistência afirma que as medidas de protecção dos bens com grau de
sensibilidade equivalente deverão ser, também, equivalentes, ou seja, a protecção deverá
ser homogénea face à sensibilidade dos bens protegidos.
Redundância
São estes os princípios que o responsável pela segurança deverá dominar e articular na
definição e implementação do Programa de Segurança. Quanto mais íntimo for o seu
conhecimento das características, implicações e interacção entre eles, maior será a
eficácia e melhores os resultados dos esforços desenvolvidos.
João Magalhães Mateus 6
Segurança da Informação
Requisitos de Segurança
Introdução
Por outro lado existem ameaças aos sistemas de informação e redes de dados das
organizações perpetrados por criminososos (hackers ou crackers na gíria informática) que
têm motivações de vária ordem:
Os seus objectivos passam sempre por obter previlégios máximos sobre um sistema para
assim o poder controlar. Para isso os atacantes exploram vulnerabilidades nos sistemas,
falhas de configuração, erros humanos e outras possíveis portas de entrada para a sua
acção. Por outro lado como as ferramentas de que os atacantes se servem estão muitas
delas livremente disponíveis na Internet, temos um perfil de atacante que vai do
adolescente que quer entrar no sistema de informação da sua escola para alterar a sua
nota, até aos criminosos mais sofisticados capazes de penetrar nos sistemas de defesa
militar, recursos energéticos e banca só para citar alguns.
Acesso a informação.
Alteração de informação.
Vandalismo.
Ataques típicos
Malware
Também pode ser considerada malware uma aplicação legal que por uma falha de
programação (intencional ou não) execute funções que se enquadrem na definição supra
citada.
Vírus de computador
Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas horas,
entrando em execução a horas específicas.
Certos vírus trazem consigo código que permite a um estranho aceder ao computador
infectado ou recolher dados e enviá-los pela Internet para um desconhecido, sem notificar
o utilizador.
Os vírus eram no passado, os maiores responsáveis pela instalação dos cavalos de Tróia,
como parte de sua acção, pois eles não têm a capacidade de se replicar. Actualmente, os
cavalos de Tróia não chegam exclusivamente transportados por vírus, agora são
instalados quando o utilizador descarrega um ficheiro de origem duvidosa da Internet e o
executa.
Os alvos típicos são servidores de páginas, e o ataque tenta tornar as páginas hospedadas
indisponíveis na WWW.
Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga.
O ataque de negação de serviço pode assumir uma forma massiva e distribuída por vários
computadores atacantes (sem saber que o são). Um ataque distribuído de negação de
serviço (também conhecido como DDoS, um acrónimo em inglês para Distributed Denial
of Service) consiste em enviar múltiplos pedidos de acesso ao site-alvo por parte de
múltiplos computadores que foram comprometidos, até que este não consiga dar resposta
e o acesso fique impossibilitado.
Phishing
Este termo deriva da sua palavra homófona fishing (com a mesma pronúncia, mas escrita
de modo diferente) que literalmente significa pescar. De facto, o atacante tenta “pescar”
informações confidenciais dos utilizadores como por exemplo a sua senha de acesso
bancária. Recentemente, alguns clientes da Caixa Geral de Depósitos, o maior banco
português, foram alvo de ataques de phishing em que os atacantes (que faziam passar-se
por funcionários do banco) solicitavam a actualização dos seus dados incluindo o
preenchimento dos códigos do cartão matriz que possibilita o livre acesso às contas. Na
prática do Phishing surgem artimanhas cada vezmais sofisticadas para roubar
informações sigilosas dos utilizadores.
Key logger
Muitos casos de phishing, assim como outros tipos de fraudes virtuais, baseiam-se no uso
de algum tipo de keylogger, instalado no computador sem o conhecimento da vítima, que
captura dados sensíveis e os envia para um hacker que depois os utiliza para fraudes.
Spoofing
Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de
confiabilidade que existe dentro das organizações: supostamente não se deveria temer
uma máquina de dentro da empresa, se ela é da empresa.
Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que
estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante,
do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos privilegiados no
momento do ataque.
Session Hijacking
Se um atacante estiver habilitado a roubar este cookie, ele pode fazer requisições como
se fosse o utilizador legítimo, ganhando o acesso a informações privilegiadas ou até
modificar dados. Se o cookie for um Cookie Persistente, o roubo de identidade pode-se
estender por um tempo muito longo.
O ataque por Session Hijacking não é limitado para a Internet. Em qualquer rede usando
um protocolo cujo o estado é mantido através de uma chave que é verificada através de
dois computadores é vulnerável, especialmente se não for cifrada.
Password Attacks
Existem diversas razões que levam as pessoas a roubar as passwords, desde simplesmente
aborrecer alguém até a prática de actividades ilícitas.
As pessoas ainda precisam gerar e manter as suas próprias passwords e, para facilitar a
tarefa, lançam mão de um sem-número de expedientes inseguros. De post-its reveladores
a palavras fáceis de descobrir, as passwords de um sistema são um pesadelo constante
para os administradores. Os Trojans facilitam o roubo de passwords.
Os atacantes podem tentar descobrir as passwords pelo método da força bruta, que
consiste em enviar automáticamente tentativas de acesso experimentando de cada vez
uma senha diferente até conseguir acesso. É também comum o uso de dicionários com
João Magalhães Mateus 15
Segurança da Informação
passwords típicas como por exemplo 123456, sporting, benfica, e tentar as palavras no
dicionário em primeiro lugar. Vários sítios já possuem mecanismos de defesa em relação
a esses ataques, como por exemplo o serviço de mail da gmail que à terceira tentativa e
erro, obriga a uma autenticação que implica uma descodificação de caracteres escritos
numa imagem que, em princípio, só um humano consegue decifrar. Isto porque este tipo
de ataques é lançado de forma automática por computadores que quando confrontados
com o reconhecimento de caracteres estranhos, não o conseguem fazer, abortando assim
o ataque. Outra variante é o ataque por injecção de código SQL (standard query language)
no acesso a sítios. Neste ataque em vez do nome de utilizador, o atacante introduz uma
instrução SQL tentando aceder directamente à base de dados de validação da password
(onde estão guardados os nomes de utilizador e as correspondentes senhas de acesso) e
tentando assim obter acesso.
Criptografia
ou mais seguro quanto o for a própria chave e o meio em que ela foi dada a conhecer a
ambos interlocutores. É comum a chave estar guardada num local seguro.
Por sua vez designa-se por criptografia assimétrica a criptografia de chave pública e é um
método de criptografia que utiliza um par de chaves: uma chave pública e uma chave
privada. A chave pública é distribuída livremente para todos os correspondentes via e-
mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu
dono.
Chave Pública
Chave privada
A Infraestrutura de Chave Pública, muito conhecida apenas por PKI (de Public Key
Infrastructure) é um sistema (uma infraestrutura) formado por componentes de natureza
legislativa ou jurídica, de infra-estrutura física e de equipamentos tecnológicos, bem
como de normas, regulamentos e procedimentos que definem políticas e práticas de
certificação, para garantia da segurança da informação. A peculiaridade das denominadas
"infra-estruturas de chaves públicas" em relação a outros sistemas de segurança, é o facto
de estarem suportadas na utilização de tecnologia de criptografia assimétrica de "chave
pública" em contraposição com a tecnologia de criptografia simétrica.
Existem vários modelos de organização das entidades certificadoras que compõem uma
dada "Infraestrutura de Chave Pública", que vão desde modelos estatais de PKI, até
modelos hierárquicos ou ainda de certificação cruzada. A escolha de um dado modelo de
organização deve obedecer a critérios de optimização para a realidade do sistema de
segurança que se pretende implementar.
Assinatura Electrónica
Certificado Digital
Entidade Certificadora
Autoridade Credenciadora
É considerado como "Credenciação" o acto pelo qual é reconhecido a uma entidade que
o solicite e que exerça actividade de entidade certificadora o preenchimento de um
conjunto de requisitos tais como:
Validação cronológica
Informação é um activo que, como outros importantes activos de negócio, tem valor para
a organização e consequentemente necessita de ser adequadamente protegida.
A informação pode existir em diversas formas. Pode ser impressa ou escrita em papel,
guardada electronicamente, transmitida por correio ou utilizando meios electrónicos,
mostrada em filme, ou transmitida em conversações. Qualquer que seja a forma que a
informação possua, o meio na qual é partilhada ou guardada, deverá sempre ser
apropriadamente protegida.
A norma ISO 27001:2013 é uma atualização da norma ISO 27001:2005. A nova versão
enfatiza a monitorização e avaliação do nível de desempenho do sistema de gestão de
segurança de informação (SGSI), existindo uma nova seção sobre as atividades
asseguradas por terceiros (“outsourcing”), o que vem dar resposta ao fato de que muitas
organizações externalizarem atividades do seu sistema de gestão. Na nova versão é dada
mais atenção ao contexto organizacional da segurança da informação, e foi alterada a
avaliação de risco.
Esta nova versão da norma 27001 surge para dar respostas a novas tendências
computacionais, como por exemplo, a “nuvem” (Cloud Computing) que consiste em que
as empresas deixem de ter que possuir os seus servidores para alojar a sua informação,
passando esta a residir em servidores próprios ou de terceiros e disponível através de um
acesso seguro na internet (daí o termo “nuvem”).
Esta norma identifica também 8 controlos como “princípios guia que possibilitam um
bom começo para a implementação da segurança da informação. Estes são baseados ou
em requisitos legais considerados essenciais ou em boas práticas comuns para a protecção
da informação”.
Gestão de Activos
Tem por objectivo alcançar e manter a protecção adequada dos activos da organização.
– Classificação da Informação
Consideram-se activos face à ISO 27001 aqueles que são relevantes para o âmbito do
sistema de gestão de segurança da informação
Documentos em papel
Activos de software
Activos físicos
Pessoas
Serviços
No entanto, para a norma ISO 27001, como activos não se incluem necessariamente todos
os bens que habitualmente se consideram como tendo valor para a organização. A
organização tem que determinar quais os activos que podem materialmente afectar a
entrega de seus produtos e/ou serviços, em caso de ausência ou degradação.
Tem por objectivo garantir a operação segura e correcta dos recursos de processamento
de informação
Cópias de segurança
Troca de informação
Monitorização
Riscos de Segurança
A norma ISO 27001 requer que seja definida uma metodologia para avaliação dos riscos
e que seja executada essa tarefa para identificar as ameaças dos activos.
Valor de um activo
O valor de um activo deve ser estabelecido de acordo com a sua relevância no contexto
da sua utilização/existência.
Ameaças
Uma ameaça tem o potencial de causar um incidente indesejado que pode resultar em
problemas para um sistema ou para uma organização e seus activos.
Vulnerabilidades
Controlos
Os controlos têm de ser seleccionados com base no resultado de uma análise de risco.
Como resultado da análise de risco, deve ficar claro quais os controlos que constituem a
base, quais são obrigatórios e quais são considerados opcionais. Os controlos
seleccionados deverão reflectir em a estratégia de gestão de risco da organização.
A norma ISO 27001 expressa que nem todos os controlos serão relevantes para qualquer
situação ou organização. Deste modo as organizações têm que interpretar a norma para
atingir dos seus próprios objectivos. A adequação para o objectivo é um dos dilemas do
auditor de segurança.
Legislação Aplicável
A Lei n.º 53/2008 de 29 de Agosto aprova a Lei de Segurança Interna. No Artigo 17 esta
Lei atribui ao secretário-geral do Sistema de Segurança Interna (SG-SSI) “poderes de
organização e gestão administrativa, logística e operacional dos serviços, sistemas, meios
tecnológicos e outros recursos comuns das forças e dos serviços de segurança (FSS).”
A Lei mais específica sobre a Criminalidade Informática é a Lei n.º 109/2009 de 15Set.
Esta lei estabelece as disposições penais materiais e processuais, bem como as
disposições relativas à cooperação internacional em matéria penal, relativas ao domínio
do cibercrime e da recolha de prova em suporte electrónico.
A que recursos
De que modo
III. Curta extensão, que indica o que fazer e não o como fazer.
IV. Escrita de forma clara, precisa, com termos que não mudem frequentemente e que
deve ser entendida por todos.
1. Propósito da Politica.
2. Responsabilidades atribuídas.
3. Âmbito da política
5. Sanções a aplicar.
“Defesa em profundidade”
Iludir os utilizadores
7. Compartimentar os activos
Recuperar o sistema
I. Escrever uma politica de segurança é o meio principal meio para explicar a sua
necessidade.
Referências Bibliográficas
ISO / IEC: 27002 (2013). Information technology - Security techniques - Code of practice
for information security controls.
KUROSE, James e ROSS, Keith (2008). Computer Networking, Addison Wesley, 4th
Edition.