Apostila Gestao Seg Rede

GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS
SEGURANÇA DA INFORMAÇÃO
NATIONAL SECURITY TELECOMMUNICATIONS AND INFORMATION SYSTEMS

SECURITY COMMITTEE (NSTISSC):
- “A segurança da rede é a proteção da informação, dos sistemas, hardware
utilizados, armazenamento e a transmissão dessa informação.
NATIONAL SECURITY TELECOMMUNICATIONS AND INFORMATION SYSTEMS

SECURITY COMMITTEE (NSTISSC):
– “A segurança da rede abrange as medidas que são tomadas para garantir a
confidencialidade, integridade e disponibilidade de dados ou recursos.”
OBJETIVOS PRIMÁRIOS DA SEGURANÇA DE REDES:

 Confidencialidade – garantir acesso a informação somente por pessoas
autorizadas;
 Integridade – garantir a completude e exatidão da informação e os métodos de
processamento seguros;
 Disponibilidade – garantir o acesso à informação ou ativos de redes, quando
necessário.
EXPANSÃO DESSES OBJETIVOS PRIMÁRIOS:

 Autenticidade – garantir a identidade das membros de uma comunicação, bem
como, quem gerou a informação
 Legalidade – garantir a conformidade da informação com a legislação em todas
as esferas
 Não repúdio – garantir que o gerador da informação não possa negar sua autoria
ou alteração.
 Auditoria – garantir o rastreamento dos fatos de um evento e identificar os
envolvidos.
Qualquer dispositivo de rede pode ser invadido ou infectado por meio:

• de falhas de configuração;
• da ação de códigos maliciosos;
• da exploração de vulnerabilidades;
• de ataques de força bruta.
EQUIPAMENTOS - SEGURANÇA DA INFORMAÇÃO
Equipamentos de rede alvo e os ataques potenciais:
• Routers
Ataque de acesso – obter acesso ao router ou a rede ;
Ataque de negação de serviço:
DoS ou distributed DoS – derrubar o roteador
Alterar o roteamento - redireciona o tráfego, negando o serviço à rede
• Firewalls
Ataques semelhantes ao dos roteadores;
Dependendo do tipo e tamanho do firewall as técnicas são diferentes.
• Switches
Qualquer ataque afeta o fluxo do tráfego da LAN no segmento, o tráfego fica
concentrado no switch (concentrador);
No caso de switch L3 a situação fica mais crítica.
• Servers
Podem ser um grande alvo para os atacantes, porque são usados para
armazenamento de dados e podem fornecer acesso à rede;
Se o servidor foi explorado, muitos outros equipamentos da rede devem estar
vulneráveis, além das informações contidas no server poderem ser usadas para a o
ataque aos outros equipamentos.
PILHA TCP/IP - SEGURANÇA DA INFORMAÇÃO
Aplicação
• Plugins para Browsers (ActiveX, Applets Java)
• Senhas enviadas sem criptografia (Telnet, POP)
• Vírus, Worms, Trojans
• Vírus são programas maliciosos que se replicam
• Trojan horse programa malicioso disfarçado de benigno
• Worms são vírus auto-replicáveis
• Bugs de software vulnerabilidade
• Serviços “startados” como root (administrador do sistema)
• Vulnerabilidades em SNMP, SSH, FTP etc
• Falha na configuração de serviços (FTP, HTTP)
Transporte
• Aplicações TCP, UDP ( varredura de portas )
• Port scan permite “mapeamento da rede”
• Porta aberta = serviço rodando
• Negação de Serviço (Dos)
• SYN flood
• TCP session hijacking
Internet
Vulnerabilidades em roteadores
• senha de administração fraca ou default ou em “branco”(sem senha)
• Bugs no OS permitem “buffer overflow” (IOs)
IP – Internet Protocol
• IPv4 não oferece confidencialidade
• Pacotes atravessam redes públicas ou do ISP
• IP spoofed (IP de origem falso)
• DoS (ping da morte)
• Firewalls mal configurados(filtro de pacotes, ACL)
• Vulnerabilidades nos protocolos de roteamento (RIP, BGP, OSPF etc)
Rede de Acesso( camadas física e enlace de dados)

Vandalismo
• Acesso cabos lógicos e de força, disjuntores
• Acesso a equipamentos e racks distribuído no prédio
Manutenção na rede elétrica interfere na rede;
Picos de energia afetam equipamentos de rede;
ARP cache poisoning (gera respostas ARP falsas, Man-In_The_Middle);
Redes sem fio:
• Frequência do IEEE 802.11 é 2.4GHz (ISM);
• Interferência (ex: fornos microondas, Bluetooth) pode acarretar DoS;
• Sniffing captura de quadros (modo promíscuo);
• Criptografia de nível físico deve estar habilitada
SEGURANÇA DA INFORMAÇÃO
Garantir a sobrevivência de negócios em que suas atividades são totalmente

dependentes dos processos informatizados, requer uma atenção MAIOR à segurança da
informação.
Não deixe de assistir à reportagem do fantástico no link:
http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-
e-celulares-e-sequestram-dados.html
RANSOMWARE – SEQUESTRO DE DADOS
A reportagem retrata três casos:

1º Farmácia – cidade de Vera Cruz 430 km de São Paulo;
2º Fábrica de móveis sob medida – Goiás – cadastro, folha de pagamento de
empregados e os programas que controlam a linha de montagem, resultado 15 dias
parada;
3º Prefeitura Municipal de Japorã – a 500km de Campo Grande MS, sem acesso
as informações de licitação, recursos humanos, tributários e o sistema financeiro.
RANSOMWARE – SEQUESTRO DE DADOS

Recomendações da MCafee para reduzir os impactos:
• Faça backup dos dados
backup do backup,
é armazenado fora da empresa em local seguro,
o sistema de backup fica desconectado da rede,
são constantemente testados
• Bloqueie o tráfego e programas indesejados ou desnecessários
Bloquear TOR, aplicativo e tráfego
TOR bloqueado impede acesso a chave pública RSA
• Sistemas de patch
Vulnerabilidades mais exploradas em 2014, possuíam mais de sete anos
aplicar os patches do SO, Java, Adobe Reader, Flash e aplicativos
Verificar a aplicação dos patches
• Proteja os endpoints
Implementar alguns recursos avançados, ex: “impedir executáveis de ser
executado a partir da pasta Temp”
• Ative o antispam
Ataques de phishing podem conter o ransomware em arquivos .scr ou qualuqer
outra extensão
Arquivos .zip não são bloqueados, porém faça a varredura em no mínimo dois
níveis
• Conscientização dos usuários
Considerando que a maioria dos ataques de ransomware são desciminados
através de e-mails de phishing, é imprescindível conscientizar os funcionários
Conscientização frequente e ininterrupta quanto aos assuntos de segurança
PERDAS RELATADAS – IC3

Os crimes cibernéticos são ameaças tão sérias e geram um grande prejuízo
financeiro entre outros.
O Intenet Crime Complaint Center publica em seu relatório anual de 2014, os TOP
50 dos países com a maior quantidade de perdas reportadas.
Fonte:http://www.ic3.gov/media/annualreport/2014_IC3Report.pdf
GALERIA DO CRIME - FBI
O FBI mantem publicada lista dos suspeitos de cyber crimes mais procurados.
Fonte: https://www.fbi.gov/wanted/cyber
FERRAMENTAS DE LOG E AUDITORIA
Nos sistemas UNIX e LINUX os arquivos de log são, por padrão, armazenados no
diretório “/var/log”
Podemos enumerar diversas ferramentas:
UTMP E UTMPX
Registra os usuários locais que estão conectados atualmente no sistema
Formato armazenamento: binário
Comandos exibição das informações: who, whodo, write, finger e ps.
WTMP E WTMPX
Registra detalhes da sessão aberta pelo usuário
Comandos exibição das informações: last, acctcom
LASTLOG
Registra o horário da ultima tentativa do usuário acessar o sistema
Comandos exibição das informações:
lastlog –u aluno (último logon desse usuário)
lastlog –t 3 (últimos 3 dias)
MESSAGES
Registrar todas as operações do sistema (kernel) ou algum mecanismo de log
(programas), exemplo mensagens enviadas ao console
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
SULOG
Registra tentativas de execução do comando su, tenham sido estas bem ou mal
sucedidas.
XFERLOG
Registrar todas as operações logon/logoff realizadas pelo daemon de ftp.
SECURE(tcp-wrappers
Registrar todas as operações realizadas por tcp-wrappers (alteração de senhas,
criação de usuários e grupos)
MAILLOG(e-mails)
Registrar os envios e recebimentos de e-mails no sistema
BASH_HISTORY
localização: /home/user ou /root
Armazena os últimos 1.000 comandos digitados pelo usuário.
ANÁLISE DE LOGS
O problema não está na ferramentas para acessar os LOG’s
O PROBLEMA está no grande volume de dados gerado diariamente por eventos
relacionados ao sistema. Como identificar as informações RELEVANTES?
AUDITORIA/ANÁLISE DE DADOS
DADOS – é a observação de outras informações dentro de um sistema

computadorizado ou não;
Os DADOS necessitam estar íntegros, confiáveis e em conformidade com as regras
de negócio;
Podemos encontrar alguns PROBLEMAS com os DADOS
PROBLEMAS com os DADOS:

Erro de formato;
Incompletos;
Inválidos ou incorretos;
Dimensão;
Extração dos dados e
Interpretação dos resultados.
CAATs
Técnicas de Auditoria Assistidas por Meios Computacionais
Computer Assited Audit Techiniques
São ferramentas para utilização de computadores para automatizar e simplificar o

trabalho de AUDITORIA de DADOS
As CAATs praticamente incorporam os DADOS analíticos no processo de

AUDITORIA.
Permitem manipular os dados simulando as regras de negócio, checando sua
integridade e conformidade, prevenindo fraudes.
Tipos de CAATs
Software de Auditoria Generalizado (GAS) – como seu nome define, é de uso geral,
podendo ser utilizado para testes de controle;
Software de Auditoria Customizado(personalizado) (CAS) –
desenhados pelos auditores para tarefas específicas de auditoria, não realizadas
pelo GAS.
Dados de teste – teste é realizado com dados simulados, válidos ou não, com o
objetivo de testar a precisão do sistema, verifica a validação dos dados, a detecção de
erros, etc
Simulação Paralela – objetiva imitar o programa de produção do cliente
Facilidade de Teste Integrado – a execução da aplicação com dados de teste e

dados reais
Análise do código do programa– comparar documentação do sistema com o
código do programa (sistema)
TIPOS DE SOFTWARE DE AUDITORIA
1. Planificação de auditoria
1.1. Planning Advisor
2. Execução – SUPERVISÃO
2.1. COBIT Adivisor
2.2. Pro Audit Advisor
3. Análise de risco
3.1. RISK2K – Pilar – Chinchón
3.2. Enterprise Risk Assessor (ERA Lite)
3.3. Risk Assement Program – RAP
3.4. Audicontrol
4. Análise e avaliação de base de dados
4.1. ACL: (Audit Command / Control Language)
4.2. IDEA: (Interactive Data Extraction and Analysis)
5. Ferramentas Integradas
5.1. Gestor F1 Audisis
5.2. Auditor 2000
5.3. TeamMate
6. Programas para propósitos específicos
6.1. Sistema de Auditoria e Segurança – SAS
6.2. Statistical Techiniques of Analytical Review
6.3. DATAS – Digital Analysis Tests And Statistics
AUDITORIA TRADICIONAL VS CAATS

O que fica melhor em um relatório de auditoria?
“A auditoria analisou 50 TRANSAÇÕES tendo detectado uma transação processada
de forma incorreta”.
OU
“A auditoria analisou TODAS AS TRANSAÇÕES, de um determinado período de
uma unidade de negócios e após testes identifica as possíveis anomalias”.
VANTAGENS E DESVANTAGENS DO USO DAS CAATS

Processamento de rotinas;
Manipulação extensiva de fórmulas;
Importação e exportação de dados;
Importação de grandes volumes de dados;
Codificação avançada de dados;
Operações de bases de dados apoiadas em SQL;
Geração de dados estatísticos;
Análise funcional;
Critérios avançados de busca;
Gestão de arquivos; e
Ligação a bases de dados.
Perca de informação no processo da extração;
Alocação de tempo adicional na organização dos dados
Limitação da informática.
CONTROLE DE ACESSO E GERÊNCIA DE IDENTIDADE
DESAFIO
Controlar o acesso de usuários/colaboradores
autenticação;
autorização e
auditoria.
CONTROLE DE ACESSO
Usuários/Colaboradores:
Funcionários
Estagiários
Terceiros
Gerenciamento de usuários/colaboradores e permissões

Privacidade
Segurança
Eficiência
CONTROLE DE ACESSO – CA – 1ª GERAÇÃO

Login de usuário e senha
Características
Requer senha forte (mínimo 8 caracteres)
Suscetibilidade à engenharia social
Política de senhas (periodicidade e repetitividade)
Par login/senha para cada sistema

Dispositivos físicos para autenticação
Smartcards – cartão plástico com chip

Cartão por contato – similar cartão de crédito, necessita leitor;
Cartão sem contato – crachá RFID
Cartão híbrido – com ou sem contato com chip único ou um para cada função
Token – utilizado por alguns bancos, gera uma nova senha a cada acesso
Dispositivos físicos para autenticação

Smartcards e Token
Características
Custo do dispositivo;
Reposição dos mesmos por perda;
Expiração do dispositivo, acarretando a troca;
Permissões emergenciais.

Autenticação por biometria (características físicas):
Autenticação por biometria (características físicas):
Impressão digital:
Verifica as terminações e bifurcações dos sulcos;
Sistemas mais modernos, verificam os arcos e voltas que aparecem nos dedos;
O leitor deve minimizar a rotação da imagem e compensar pequenas variações em
relação a imagem armazenada;
Utilizado para controle de acesso e caixas eletrônicos;
Problemas na identificação quando ocorrem pequenos cortes no dedo, pele
ressecada ou ambiente de trabalho com excesso de sujeira;
Método rápido e confiável;
Custo acessível, por ser muito difundido e utilizado, aumento de oferta desses
leitores;
Menos intrusiva.
Reconhecimento facial:
Verifica os vários pontos identificadores e delimitadores da face;
Define distâncias, tamanhos e formas de cada componente da face (nariz, olhos,
orelha etc);
Problemas na identificação, acarretada pelas transformações faciais (adolescência,
fase adulta, terceira idade etc);
Problemas de identificação, acarretada pelo uso de óculos de sol, bigode, barba e
expressões faciais.
Retina
Íris:
Verifica imagem da íris (extremamente complexa);
Método bastante seguro;
A íris é única e diferente de seu par;
Pequena margem de erros;
Praticamente imutável durante a vida;
Lente de contato não compromete o reconhecimento da íris;
De fácil implementação, unidade óptica (câmera monocromática de alta precisão);
As cores não são significativas para a identificação;
Problema é a resistência de algumas pessoas em realizar a fotografia da íris
Geometria da mão:
Não tão confiável quanto a impressão digital;
Problema relacionado ao posicionamento correto da mão na superfície do leitor;
Outro problema é a utilização de acessórios, anéis, alianças etc.
GERÊNCIA DE ACESSO
GESTÃO TRADICIONAL DE USUÁRIOS
Duração de aproximadamente 5 dias para conceder acesso a todos os ativos
computacionais, para o colaborador desempenhar suas funções.
Além do acesso inicial, o colaborador pode ser transferido ou promovido, com a
mudança de função, há a necessidade de rever suas permissões, evitando atrasos no
desempenho da nova função e impedindo acessos indevidos à função anterior.
Solução - Role Based Access Control - RBAC
Controle de Acesso Baseado em Função (papéis)
Projeto detalhado das permissões de acesso de cada cargo ou função.

Criar perfil do cargo ou função.
Atribuir permissão(acesso) ao cargo(perfil) e não ao usuário
Alteração de função do usuário:
 revogar o perfil antigo;
 conceder acesso ao novo perfil.
SISTEMA DE GERENCIAMENTO DE IDENTIDADE - SGI

Filosofia de usuário único, liberar todo acesso a todas as aplicações destinadas ao
cargo ou função;
Segurança de dados da organização sem comprometer o desempenho funcional
do colaborador;
Agilidade e segurança na liberação ou revogação de acesso.
SGI – PRINCIPAIS OPERAÇÕES

Identificação- a entidade fornece uma identidade ao sistema;
Autenticação- o sistema verifica se a identidade é legítima;
Autorização - o sistema concede privilégios a uma entidade, após sua

autenticação;
Auditoria - através de logs, o sistema registra as ações da entidade, que é

responsável por suas ações.
SGI – MODELOS
Tradicional
Centralizado
Federado
Centrado no usuário
SGI – MODELO TRADICIONAL
Fácil implementação;
• É Provedor de Serviços – SP e
Provedor de Identidade – IdP – SP + IdP;
• O usuário possui uma identidade digital para cada SP;
• Os SP trabalham isoladamente NÃO compartilhando as identidades.
Fonte: http://www.gta.ufrj.br
SGI – MODELO CENTRALIZADO
Um IdP para vários provedores de serviços;

• Autenticação única - Single Sign-On – SSO
• É a identidade única de mais simples implementação;
• Confiança plena no provedor de identidades;
• Vantagem
Ao se autenticar recebe credenciais para todos os SP
• Desvantagem
ponto de falha único;
o IdP possui controle total das informações, fato que acarretou o insucesso do
Microsoft Passport Network.
SGI – MODELO FEDERADO
• Um IdP para cada domínio

administrativo diferente;
• Acordo entre os IdP, para que uma identidade emitida por um IdP seja
reconhecida por outros SP de outros domínios;
• Garante o conceito de Single Sign-On – SSO;
• Vantagem
Amplia a vantagem do CENTRALIZADO, ao se autenticar recebe credenciais para
todos os SP de todos os domínios administrativos da FEDERAÇÃO (acordo entre os IdPs).
• Desvantagem
A mesma do CENTRALIZADO
• Utilizados pelos sistemas:

 Liberty Alliance,
 OpenSSO e o
 Shibboleth ;
SGI – MODELO CENTRADO NO USUÁRIO
• o usuário tem total controle de suas informações;

• baseado em algum dos outros modelos;
• armazena identidades e se autentica em dispositivos:
físico (smartcard ou celular) ou lógico
• utilizados pelos sistemas:

 Higgins;
 Microsoft CardSpace e
 OpenID.
SGI – PRINCIPAIS FOCOS E MOTIVAÇÕES

• Área acadêmica no Brasil – Fundação CAFe da RNP:
A Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES),
disponibiliza por meio da federação, acesso remoto ao seu Portal de Periódicos.
• Setor Privado
SGI – APRESENTAÇÕES DE FERRAMENTAS
vídeos:
https://www.youtube.com/watch?v=EXeOxjccfHc
https://www.youtube.com/watch?v=CqvJcTvhCBw
STATEFUL FIREWALL E NEXT GENERATION FIREWALL
SEGURANÇA LÓGICA FIREWALL

• Packet filtering
• Stateless packet filter
• Stateful packet filter
• Application Proxy
• Deep packet inspection
FIREWALL
É uma solução de segurança baseada em hardware ou software, também
conhecido como “parede corta-fogo”, separando através de critérios, materializado por
regras, a rede interna da externa (INTERNET).
BOA PRÁTICA - FIREWALL

Uma boa prática é a rede interna ficar atrás do firewall, para obrigar todo o
tráfego entrando ou saindo da rede ser submetido a analise, com a finalidade de
bloquear o tráfego indesejado e liberar o tráfego desejado e autorizado.
LINUX - FIREWALL
O firewall mais popular do LINUX é o netfilter, popularizado por sua interface
iptables.
CONFIGURAÇÃO MANUAL - FIREWALL

1º Passo – Definir a Política de Segurança (security policy):
RESTRITIVA - todo tráfego é bloqueado, exceto o que está explicitamente
autorizado;
PERMISSIVA - todo tráfego é permitido, exceto o que está explicitamente
bloqueado (negado )
2º Passo - Pensar as regras levando em conta o sentido do fluxo;
3º Passo – Ordenar as regras da mais específica para a mais genérica.
PACKET FILTERING (FILTRO DE PACOTES)

• Surgiu na década de 80, também conhecido como filtragem estática;
• Analisa as informações do cabeçalho dos datagramas IP (pacotes ), como
endereço IP de origem, destino, tamanho, tipo de serviço etc.;
• Dificuldade em filtrar protocolos que utilizam portas dinâmicas;
• PERMITE explorar vulnerabilidades de protocolos e serviços da camada de
aplicação.
STATELESS PACKET FILTER

• Evolução do filtro de pacotes;
• Desempenha todas as funções do filtro de pacotes;
• Analisa mais detalhes que o filtro de pacotes (flags TCP);
• Metodologia intermediária entre o filtro de pacotes e o stateful firewall;
• IPCHAINS é sua implementação no Linux.
• Conhecido como filtro dinâmico;
• Utiliza um conjunto de regras de filtragem e informações de estado das conexões;
• A primeira filtragem ocorre com o primeiro pacote (SYN), depois o filtro SPF cria uma
entrada para essa conexão (sessão) na tabela de estados.
CABEÇALHO IPv4
CABEÇALHO TCP
PACKET FILTER
Trata todo o cabeçalho IP (20 bytes) e
as portas de origem e destino (4 bytes).
STATELESS
Trata todo o cabeçalho IP (20 bytes);
as portas de origem e destino (4 bytes) e
em geral analisa os FLAGs de conexão do TCP.
NÃO trata o estado da conexão.
STATEFUL
Trata todo o cabeçalho IP (20 bytes);
Trata todo o cabeçalho TCP (20 bytes) ou UDP (8 bytes) ou ICMP.
TRATA o estado da conexão.
O STATEFUL pode realizar o tratamento como se fosse PACKET FILTER ou
STATELESS
COMPARAÇÃO DOS TIPOS FIREWALL
PACKET FILTER – trata de 20 a 24 bytes
STATELESS – trata pouco mais de 24 bytes (FLAGs)
STATEFUL – trata no mínimo 40 bytes (H IP e H Transporte)
FERRAMENTAS DE FIREWALL
Exemplos de firewalls:
• Linux Kernel 2.0.x
• IPF – Packet FilterB
• IPFWADM – Packet Filter
• Linux Kernel 2.2.x
• Ipchains – Stateless
Sinus – Packet Filte
• Linux Kernel 2.4.x / 2.6.x
• Netfilter (iptables) – Stateful
• Outras soluções Open Source:
• IPFW – FreeBSD
• PF – OpenBSD e FreeBSD 5.x
• IPFilter - Solaris 10
ARQUITETURA DE FIREWALL
• Dual-homed host
• Screened Host
• Screened Subnet
• Dual-homed host
• Screened Host
• Screened Subnet
SEGURANÇA LÓGICA FIREWALL
APPLICATION PROXY – MÉTODOS DE UTILIZAÇÃO
• Conexão direta - configurando o navegador;
• Proxy de Autenticação – usuário se identifica e autentica;
• Proxy Transparente – NÃO configura o navegador, o usuário não tem o conhecimento da
existência do proxy ou que o utiliza.
APPLICATION PROXY
• Conhecido como firewall de aplicação, proxy de serviços ou simplesmente proxy;

• Permite análise e filtragem até a camada de aplicação;
• Necessita de 2 conexões:
• Cliente - Proxy;
Proxy - Servidor
APPLICATION PROXY - VANTAGENS

• Impor restrições com base em:
• horários,
• login,
• endereço IP etc
• Cache de páginas e arquivos;
• Registra todos os acessos (LOGs)
APPLICATION PROXY - DESVANTAGENS

• Pode utilizar servidores diferentes para cada aplicação (serviço);
• Aumenta o atraso ao acessar um serviço.
DEEP PACKET INSPECTION - DPI

• Considerado a evolução do FIREWALL e pode ser visto como a integração de:
• Intrusion Detection (IDS);
• Intrusion Prevention (IPS) e
• Stateful firewall.
• Anteriormente acompanhamos a linha do tempo:
• Filtro de pacotes – todo o tráfego (ambos os sentidos) tem uma regra para permitir ou
negar;
• Stateless firewall – passou a analisar as portas;
• Stateful firewall – criava regras dinamicamente utilizando como base a reação prevista
dos protocolos (inspeção inteligente);
• Anteriormente acompanhamos a linha do tempo:
• Application proxy – não foram capazes de controlar as novas ameaças. A multiplicidade
de aplicações a serem controladas, agregado à latência adicionada pelo proxy,
diminuiram a demanda por esse serviço.
NOVAS DEMANDAS
• Aplicações emergentes necessitam verificação em wire-speed, utilização de XML e Simple
Object Access Protocol (SOAP).
• Aplicativos que modificam suas portas de comunicação;
• Utilização de tunelamento em protocolos normalmente autorizados (TCP porta 80 –
HTTP)
VISÃO DO DPI
• Verificar o conteúdo do payload da aplicação, para tomar decisão baseado no conteúdo
desses dados;
TÉCNICAS DO DPI (herdadas dos IDS)
• Análise baseada em assinaturas;
• Estatísticas;
• Anomalias.
WIRE-SPEED - DPI
• ASICs - Application Specific Integrated Circuits ou
• NPUs – Network Processing Units
EXEMPLO NECESSIDADE DPI
• O cliente 200.0.0.1 acessa
• o servidor de e-mail 200.10.10.1,
• acesso permitido.
EXEMPLO NECESSIDADE DPI
LEVANTAMENTO DE CONTAS E-MAIL VÁLIDAS

• VRFY – confirma nomes de usuários válidos
• EXPN – revela os endereços de entrega reais de apelidos e listas de distribuição
• Negar esta conexão

• Negar o cliente totalmente
OUTRO EXEMPLO:
Explorar Remote Buffer Overflow in Sendmail
CERT Advisory CA-2003-12
http://memoria.rnp.br/cais/alertas/2003/ca200312.html
ANÁLISE DE VULNERABILIDADES EM REDES DE COMPUTADORES
O QUE É VULNERABILIDADE?
Segundo a NORTON by Symantec, “são falhas no software de computador que
criam deficiências na segurança geral do computador ou da rede. As vulnerabilidades
também podem ser criadas por configurações incorretas do computador ou de
segurança. As ameaças exploram as vulnerabilidades, o que resulta em possíveis danos
para o computador ou dados pessoais.”
Segundo a CERT.ORG, “é definida como uma condição que, quando explorada por
um atacante, pode resultar em uma violação de segurança”
É uma condição quando explorada por um atacante, pode resultar em uma

violação de segurança.
VULNERABILIDADES - EXEMPLOS
falhas no projeto, na implementação ou

• falhas na configuração de programas, serviços ou
• equipamentos de rede
VULNERABILIDADES - FRAGILIDADES
Da tecnologia
• De configuração
• Da política de segurança
• Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES
Da tecnologia
• TCP/IP
• Sistema Operacional
• Equipamentos de rede
De configuração
• Produtos com configurações default inseguras;

• Erro na configuração de equipamentos de rede;
• Contas de sistema com senhas fracas, previsíveis ou utilizadas em outros
serviços menos seguros
Da política de segurança
• Falta de um política escrita e implementada;

• Não implementação ou falha na monitoração e auditoria;
• Falta de conhecimento ou acompanhamento sobre ataques;
• Falta de contingência;
• Alteração e instalação de software e hardware sem uma política ou não
seguindo a política definida;
• Falha no desenvolvimento e implementação da política de segurança.
Do equipamento de rede
• Proteção das senhas;

• Falhas de autenticação;
• Protocolos de roteamento;
• Brechas no firewall.
VULNERABILIDADES
ATAQUE – é a exploração de uma VULNERABILIDADE, com a finalidade de
executar ações maliciosas, como invadir um sistema, acessar informações confidenciais,
disparar ataques contra outros computadores ou tornar um serviço inacessível.
PENTEST - identifica e explora vulnerabilidades, utilizando os mais diversos

métodos. Seu principal objetivo é de rapidamente identificar as vulnerabilidades e
calcular seus riscos.
Não procure solução milagrosa.

A Hewlett Packard – HP realizou um levantamento de incidentes e apresenta
um resultado surpreendente mas totalmente plausível.
Vulnerabilidades conhecidas ainda são as mais exploradas por hackers, afirma

HP
• 44% das brechas conhecidas são de vulnerabilidades descobertas há 2 - 4
anos;
• Configurações incorretas de servidor representam a principal
vulnerabilidade;
• Novos caminhos de ataque surgiram com o aumento dos dispositivos
móveis conectados;
• As principais vulnerabilidades de software exploradas são defeitos, bugs
e falhas lógicas.
A HP constatou o problema, e propôs uma possível solução. Vamos à mesma!

PRINCIPAIS RECOMENDAÇÕES DO ARTIGO DA HP
• Uma estratégia de patches abrangente e oportuna;
• Testes regulares de penetração e verificação das configurações;
• Reduza o risco introduzido a uma rede antes de adotar novas tecnologias;
• A colaboração e o compartilhamento de inteligência de ameaças;
• Estratégias de proteção complementares devem ser adotadas (presunção de
brecha).
LEITURA DO ARTIGO DA HP COMPLETO:

http://www.brasscom.org.br/brasscom/Portugues/detNoticia.php?codArea=6&
codCategoria=57&codNoticia=888
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
CVE - Common Vulnerabilities and Exposures;

CERT - Computer Emergency Response Team;
SANS - System Administration, Networking, and Security Institute;
CIS - Center for Internet Security;
SCORE –Security Consensus Operational Readiness Evaluation;
ISC – Internet Storm Center;
NVD -National Vulnerability Database (antiga ICAT Metabase)
Security Focus (Symantec).
CVE - Common Vulnerabilities and Exposures:

• http://www.cve.mitre.org
• Mantida e moderada pela Mitre Corporation
• CVE é um grande dicionário de exposições e vulnerabilidades de
segurança da informação, publicamente conhecidos e livre para uso público.
• Identificadores CVE permitem a troca de dados entre os produtos de
segurança e fornece um ponto de referência para avaliar o índice de cobertura de
ferramentas e serviços.
Exemplo de CVE-ID = CVE-2015-7110;
• Lista de nomes padronizados para vulnerabilidades e outras informações
de exposição de segurança ;
• Variedade de artigos, grupos de e-mail, fóruns, discussão, alertas e
melhores práticas de segurança.
CERT - Computer Emergency Response Team;
• http://www.cert.org;
• Centro de excelência em segurança na internet.;
CERT/CC – CERT / Coordination Center:
• é um componente da divisão CERT
• esta situado no Software Engineering Institute - SEI
• estuda vulnerabilidades de segurança de Internet,
• fornece serviços para sites que foram atacados;
• publica alertas de segurança;
• atividades de pesquisa nas áreas de computação na WAN e
desenvolvimento de melhoria da segurança Internet;
• oferece treinamento para profissionais de resposta a incidentes;
• Computer Security Incident Response Teams (CSIRTs).
SANS - System Administration, Networking, and Security Institute;

• http://www.sans.org;
• Líder em pesquisa de segurança da informação;
• Compartilhamento de conhecimentos entre mais de 156000 profissionais
de segurança em TI;
• Permite também a elaboração de novas soluções para problemas
encontrados.
CIS - Center for Internet Security;

• http://www.cisecurity.org
• Sua missão é ajudar organizações ao redor do mundo a gerenciar
efetivamente os riscos relacionados à segurança da informação;
• Para defesa cibernética atualmente é recomendado utilizar Critical Security
Controls - CSC
Esses controles são eficazes porque são derivados dos padrões de ataque mais
comuns destacados nos principais relatórios de ameaças e controlados através de uma
ampla comunidade de praticantes do governo e da indústria.
• Top 20 CSC:
ü CSC 1: Inventário de Dispositivos autorizados e não autorizados
ü CSC 2: Inventário de Software autorizados e não autorizados
ü CSC 3: configurações de segurança para hardware e software em
dispositivos móveis, laptops, estações de trabalho e servidores
ü CSC 4: Avaliação de Vulnerabilidade contínua e Remediação
ü CSC 5: Uso Controlado de privilégios administrativos
ü CSC 6: Manutenção, Monitoramento e Análise dos registros de auditoria
ü CSC 7: Proteção de E-mail e Web Browser
ü CSC 8: Defesas de malware
ü CSC 9: limitação e controle de portas, protocolos e serviços de rede
ü CSC 10: Capacidade de Recuperação de Dados
ü CSC 11: configurações de segurança para dispositivos de rede, tais como
firewalls, roteadores e Switches
ü CSC 12: Defesa de fronteira
ü CSC 13: Proteção de Dados
ü CSC 14: Acesso Controlado Com base no Need to Know
ü CSC 15: Controle de Acesso Sem Fio
ü CSC 16: Monitoramento e Controle de Conta
ü CSC 17: Avaliação de Habilidades de Segurança e de treinamento
adequados para preencher lacunas
ü CSC 18: Aplicação de Software Segurança
ü CSC 19: Resposta e Gestão de incidentes
ü CSC 20: Testes de Penetração e Exercícios Red Team
Estudo realizado pelo governo australiano indica que 85% das vulnerabilidades
conhecidas podem ser paradas por meio da implantação dos CSC Top 5 da CIS. Isto inclui
a confecção de um inventário de ativos de TI, implementação de configurações de
segurança, correção de vulnerabilidades, e restringir usuários não autorizados.
SCORE –Security Consensus Operational Readiness Evaluation:

• http://www.sans.org/score/
• Esforço cooperativo entre SANS/GIAC e o Center for Internet Security(CIS);
• Tem o objetivo de promover, desenvolver e publicar verificações
(checklists) de segurança;
• desenvolver um consenso sobre normas mínimas e informações sobre
melhores práticas, essencialmente agindo como o motor de pesquisa para o CIS.
ISC – Internet Storm Center:
• http://isc.sans.edu
• é apoiado pelo Instituto SANS;
• reúne milhões de entradas de log de detecção de intrusão diariamente, a
partir de sensores que cobrem mais de 500.000 endereços IP em mais de 50 países.;
• está se expandindo para realizar uma busca mais rápida por tempestades,
identificando os locais que são utilizados para ataques e oficializar os alvos e os tipos de
ataques;
• é um serviço gratuito para a comunidade da Internet.
NVD -National Vulnerability Database (antiga ICAT Metabase):

• https://nvd.nist.gov/
• Define-se como índice pesquisável de informações das vulnerabilidades
dos computadores;
• Vincula vulnerabilidade ao usuário e disponibiliza informações de
atualização;
• O NVD oferece aos usuários um mecanismo de busca full-featured com
opções para selecionar vulnerabilidades e exposições de acordo com qualquer um ou
todos os critérios, a seguir veremos a lista dos mesmos.
LISTA DE CRITÉRIOS:
 Data de entrada
 Vendor
 Produto
 Versão
 Por palavra-chave
 Gravidade
 Fontes comuns
 Explorar Relacionado
 Consequência Vulnerabilidade
 Tipo de Vulnerabilidade
 Tipo de SO
 Tipo de entrada
 Tipo de componente
 Data inicial
Security Focus (Symantec)

NO BRASIL
CAIS - Centro de Atendimento a Incidentes de Segurança
• https://www.rnp.br/servicos/seguranca
CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil
• http://www.cert.br/
FERRAMENTAS & DIFERENTES TIPOS DE ATAQUE
FASES DE UM ATAQUE
• Descoberta
• Enumeração
• Mapeamento de vulnerabilidades
• Exploração
Descoberta
• coletar informações, servidor web, e-mail, registros DNS etc
Enumeração
 tentativa de obter nome de usuários, os recursos compartilhados através rede,
informações dos aplicativos, plataforma, infra-estrutura e principalmente as versões dos
serviços;
Mapeamento de vulnerabilidades
 traçado o perfil através das fases anteriores, busca as vulnerabilidades publicamente
conhecidas.
Exploração
 tentar obter acesso privilegiado ou escalar privilégios, dos alvos, utilizando ferramentas
para explorar as vulnerabilidades esperadas (exploits).
CONCEITOS BÁSICOS PARA UM ATAQUE

• Packet Sniffing
• ARP Spoofing
• IP Spoofing
• Fragmentação de pacotes IP
PACKET SNIFFING
É um ataque passivo, também chamado de passive eavesdropping.

Executa a captura de pacotes, de todos os hosts (promiscuous mode), que
estejam no mesmo segmento de rede.
Switches podem dividir a rede em mais segmentos, dificultando a captura de

pacotes. Para realizar a captura em redes segmentadas, podem ser utilizadas
configurações de “mirror port” ou “SPAN Switch Port Analizer”, que é a porta para a qual
o switch enviará cópia de todo o tráfego.
Outra possibilidade para captura em redes segmentadas por switch, seria gerar
tráfego com MAC de origem falso para comprometer a MAC address table, quando o
switch não sabe a interface do destino envia o frame para todas as interfaces.
Softwares: tcpdump (Linux) e wireshark
ARP SPOOFING
Enviar um frame com uma solicitação ou resposta ARP falso, desviando o tráfego
para o host invasor (apropriação de identidade).
Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego
válido chegue ao seu destino.
IP SPOOFING
Consiste na técnica de falsificar o endereço IP de origem de um pacote.
FRAGMENTAÇÃO DE PACOTES IP
Entendendo a fragmentação de pacotes IP.
É uma técnica utilizada, objetivando dificultar a detecção de um ataque ou realizar
uma negação de serviço (DoS).
A seguir entenda as possibilidades de ataque com a fragmentação.
POSSIBILIDADES DE ATAQUE COM A FRAGMENTAÇÃO

Normalmente os hosts não tentam processar o pacote até receber todos os
fragmentos, possibilitando um overflow na pilha TCP/IP, se o buffer reservado for menor
que o tamanho do pacote a ser reagrupado. Em geral trava o sistema caracterizando um
ataque de DoS.
POSSIBILIDADES DE ATAQUE COM A FRAGMENTAÇÃO
Outra possibilidade é offset negativo, podendo acarretar resultados inesperados
do host.
Exemplos:
• Ping da Morte – pacotes com 65535 bytes, sobrecarga do buffer, trava o sistema.
Protocolo ICMP.
• Teardrop – o mesma técnica do Ping da Morte, só que para os protocolos UDP ou TCP.
A maioria dos sistemas atuais já corrigiram esses problemas.
Atualmente a fragmentação é utilizada para tentar dificultar a ação dos firewalls
ou sistemas de detecção de intrusão (IDS), já que alguns desses equipamentos não
suportam fragmentação. A ferramenta NMAP é um exemplo, pode utilizar a técnica de
fragmentação para fazer varreduras.
ATAQUE
Abordados na fragmentação IP:

• Ping da morte (fragmentação – ICMP)
• Teardrop (fragmentação - TCP UDP)
Abordaremos a seguir:
• SYN flood (TCP)

• Smurf (ICMP)
• Fraggle(UDP)
• Varredura
• ARP poison
• Buffer overflow
SYN FLOOD - ATAQUE

Ataque baseado no three way handshake do TCP, utiliza as características de
abertura de conexão onde quem inicia a conexão utiliza a flag SYN ligada. Realiza envio de
uma GRANDE quantidade de segmentos TCP com o flag SYN ligado em conjunto com
falsificação de IP de origem (IP Spoofing).
Resultado ao atingir a quantidade máxima de conexões, incapacita a vítima de
atender às conexões legítimas.
SMURF - ATAQUE
Ataque baseado no protocolo ICMP mensagem do tipo ECHO REQUEST. Realiza
uma grande quantidade de pings destinados ao endereço de broadcast da rede e a
origem é o endereço IP do host vítima (IP Spoofing).
FRAGGLE - ATAQUE
Ataque Fraggle é uma variação do ataque smurf . O smurf utiliza ICMP – echo
request e o fraggle UDP echo.
VARREDURA - ATAQUE
A varredura (scanning) é uma técnica utilizada na fase enumeração, para obter

diversas informações como IP, porta, estado e serviço, podendo obter também versão do
SO e dos Serviços.
ARP POISON - ATAQUE

Esse ataque se aplica somente a redes ethernet, sendo a forma mais eficiente de
executar um ataque de Man-In-The-Middle, onde o atacante se interpõe (logicamente)
entre uma conversação de duas ou mais estações, utilizando o ARP Spoofing.
BUFFER OVERFLOW (Estouro de Buffer)- ATAQUE

Para entender esse tipo de ataque inicialmente é necessário relembrar a definição
de buffer:
Buffer – são áreas de memória criadas pelos programas para armazenamento de
dados, que se encontram em processamento. Esse buffer tem tamanho definido baseado
na quantidade e tipo dos dados a serem armazenados
O BUFFER OVERFLOW (estouro do buffer), pode ocorrer ao programa receber
mais dados que o buffer suporta armazenar. Se o referido programa não tratar essa
possibilidade, pode ocorrer o armazenamento em áreas de memória próximas,
corrompendo os dados ou travando o sistema e na pior das hipóteses, executar um
código explorando alguma vulnerabilidade.
FERRAMENTAS
Abordaremos as seguintes ferramentas:
• NMAP
• HPING
• METASPLOIT
• MEDUSA
• THC-Hydra
NMAP – FERRAMENTA
Realizar uma varredura com objetivo de identificar as portas de serviços que estão
abertas em um host ou uma rede. Com a utilização de parâmetros, pode retornar a
versão do sistema operacional e a versão dos serviços em execução.
Exemplo:
Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e
serviço.
Com alguns parâmetros podemos:
-O - tentar detectar o SO;
-P0 - realizar a varredura do host mesmo que não responda ao ping;
Possui uma interface gráfica a ZENMAP para diversas plataformas de SO (
Windows, Linux, MacOS, BSD, etc ).
HPING - FERRAMENTA
 é uma ferramenta que gera e analisa pacotes;
 suporta os protocolos ICMP, UDP e TCP;
 permite alteração do cabeçalho e do payload do pacote.
Funcionalidades:
 Teste de firewall
 Port scanning avançado
 Teste de diferentes protocolos e
fragmentação na rede;
 MTU Discovery manual;
 Traceroute avançado;
 OS Fingerprinting
Auditoria da pilha TCP/IP
METASPLOIT – FERRAMENTA
A partir de 2009 diversas variantes comerciais foram desenvolvidas. A versão livre
e open source, possui algumas limitações em relação comercial.
É um framework, open source, que foi criado por H.D.Moore, com o objetivo de
acelerar o desenvolvimento, testes e utilização de exploits, além de permitir a criação de
seus próprios módulos de exploits.
Possui um número considerável de exploits, payloads e ferramentas para teste de
vulnerabilidades em diversas plataformas, sistemas operacionais e servidores.
MEDUSA - FERRAMENTA
É uma ferramenta usada para ataques de força bruta para descobrir login/senha
remotamente. É uma ferramenta que obtém enorme sucesso, quando os usuários
utilizam senhas fáceis (fracas). Resumindo não há uma política de senhas implementada,
permitindo senhas fracas, como sequencias numéricas, datas, palavras do dicionário, etc.
Além da política de senhas o administrador deve bloquear usuários com falhas de
logon sucessivas, implementar um Sistema de Detecção de Intrusos (IDS) e realizar
auditoria nos logs.
THC HYDRA - FERRAMENTA

Ferramenta muito semelhante a MEDUSA. Ataca login/senha nos diversos
protocolos, incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP,
VNC, ICQ, Socks5, PCNFS e outros.
3º FÓRUM BRASILEIRO DE CSIRTS
ATAQUES MAIS FREQUENTES

Força Bruta – SSH, POP3
Força Bruta – FTP, WordPress
Ataques a Servidores Web com CMS
 defacement, hospedagem de malware/phishing, DDoS
 exploração de senhas através força bruta
 CMS desatualizados (pacotes/plug-ins prontos)
 DDoS - plug-ins WordPress e Brobot no Joomla
Ataques Partindo de Provedores de “Cloud”

 Clientes comprometidos hospedando phishing/malware
 VMs compradas por atacantes gerando ataques diversos:
• enviando spam via proxies abertos
• ataques de força bruta
• realizando ligações abusando servidores SIP/VoIP
• hospedando servidores DNS maliciosos
Ataques Envolvendo DNS

 Em “modems” e roteadores banda larga(CPEs), comprometidos
 Infraestrutura de DNS de provedores de banda larga comprometida
• Servidores DNS recursivos respondendo incorretamente
Fraudes
 Boletos alterados
• 2ª via de boleto falso, DNS malicioso
 Phishing Clássico
• Centenas de variações para a mesma URL
Ataques com amplificação

Distributed Reflected Denial-of-Service (DrDoS)
 Protocolos mais usados: DNS, SNMP, NTP, Chargen.
SISTEMAS DE DETECÇÃO E PREVENÇÃO DE INTRUSÃO
CARACTERÍSTICAS COMUNS DOS IDS E IPS

• Ambas as tecnologias são implantadas através de sensores.
• Ambas as tecnologias usam assinaturas para detectar padrões de uso indevido de tráfego
de rede.
• Ambos podem detectar padrões atômicos (single-packet) ou padrões compostos (multi-
packet)
Ambos devem ter uma Política de Segurança bem planejada
SINGULARIDADES DOS IDS E IPS

IDS – Promiscuous Mode
VANTAGEM
• Não gera impacto de latência ou jitter na rede
• Se houver FALHA no sensor NÃO afetará a rede
• Se houver SOBRECARGA no sensor NÃO afetará a rede
DESVANTAGEM
• Ação de resposta não pode parar o pacote que a desencadearam.
• Ação de resposta necessita de um ajuste fino e preciso
SINGULARIDADES DOS IDS E IPS

IPS – Inline Mode
VANTAGEM
• Pode parar os pacotes que a desencadearam
• Pode usar técnicas de normalização de fluxo contínuo
DESVANTAGEM
• Questões do sensor podem afetar o tráfego de rede
• Se houver SOBRECARGA no sensor AFETARÁ a rede
• Gera algum impacto de latência e jitter na rede
IDS PROMISCUOUS MODE

IPS INLINE MODE
COMPARANDO HIPS X NIPS
HIPS
VANTAGEM
• É específico do host
• Protege host após descriptografia
• Fornece proteção de criptografia em nível de aplicativo
DESVANTAGEM
• Dependente do Sistema Operacional
• Eventos inferiores ao nível de rede NÃO serão vistos
• O Host é visível para atacantes
NIPS
VANTAGEM
• É o custo-efetivo
• Não é visível na rede
• Independe do Sistema Operacional
• Eventos inferiores ao nível de rede serão vistos
DESVANTAGEM
• Não pode examinar o tráfego criptografado
• Não sabe se um ataque foi bem-sucedido
CARACTERÍSTICAS DA ASSINATURA:
• Um sensor IDS ou IPS realiza a correspondência entre uma assinatura e um fluxo de dados
• O sensor toma ações
• Assinaturas têm três atributos característicos:
• tipo de assinatura
• trigger da assinatura (disparo)
• ação da assinatura
IDS BASEADOS EM HOST - HIDS

• OSSEC
• código aberto;
• capaz de analisar registros, verificar integridade, detectar rootkits;
• executa alertas em tempo real e resposta ativa.
• Sua funcionalidade se deve às ferramentas de correlação e ao motor de análise.
• OSIRIS
• Pode monitorar uma ou mais máquinas periodicamente, mantendo log;
• Pode enviar mensagens de monitoramento e de possíveis ataques ao administrador da
segurança da rede;
• Opensource;
• HP-UX HIDS
• Pode realizar monitoramento, gerar alerta da possível invasão;
• detecção baseada em áreas de vulnerabilidades:
• os dados de auditoria são correlacionados para determinar em qual delas houve
exploração
• quase real-time.
IDS BASEADOS EM REDE - NIDS
• SNORT
• Baseado em regras que são processadas na análise dos pacotes
• Modos de operação:
• sniffer,
• registrador de pacotes,
• detecção de intrusos e
• Snort Inline, que é um IPS
• UNTANGLE
• Pode ser instalado em um computador servidor;
• não requer um sistema operacional para funcionar, por ser um programa servidor.
• BRO INTRUSION DETECTION SYSTEM
• Pode realizar monitoramento passivo do tráfego de rede;
Pode analisar a ocorrência de atividades suspeitas através de eventos em
semântica de aplicações, verificando o que é considerado um ataque.
• PRELUDE HYBRID IDS

• Opensource similar ao Snort;
• Pode gerenciar as informações de segurança;
• integrável a outras ferramentas de redes e a outros sistemas detectores de intrusões.
• CISCO SECURE IPS

• Versão atualizada do NetRanger;
• Possui as funcionalidades de segurança de redes combinada a um sistema de prevenção
contra intrusos.
TIPOS DE ASSINATURAS:
• Atômico
• Composto ou Stateful
Atômico
• Forma mais simples
• Consiste em um único pacote, atividade, ou evento
• Não necessita de sistema de intrusão para manter informações de estado
• Fácil de identificar
Composto ou Stateful
• Identifica uma sequência de operações distribuídas em vários hosts
• Assinatura deve manter um estado conhecido
TRIGGERS DE ASSINATURAS (DISPAROS):
• Detecção baseada em padrões;

• Detecção baseada em anomalia;
• Detecção baseada em política;
• Detecção baseada em Honeypot.
Detecção baseada em padrões;

VANTAGENS
• Fácil de configurar
• Poucos falsos positivos
• Bom design de assinatura
DESVANTAGENS
• NÃO detecta assinaturas desconhecidas
• Inicialmente grande quantidade de falsos positivos
• Assinaturas devem ser criadas, atualizadas e sofrer um ajuste fino
Detecção baseada em anomalia;

VANTAGENS
• Simples e confiável
• Políticas personalizadas
• Pode detectar ataques desconhecidos
DESVANTAGENS
• Saída genérica
• Deve ser criada uma política
TRIGGERS DE ASSINATURAS: padrões

Detecção baseada em política;
VANTAGENS
• Fácil configurar
• Pode detectar ataques desconhecidos
DESVANTAGENS
• Perfil de tráfego deve ser constante
TRIGGERS DE ASSINATURAS: padrões anomalia

Detecção baseada em Honeypot.
VANTAGENS
• Janela para visualizar ataques
• Distrair e confundir os atacantes
• Diminuir a velocidade e evitar ataques
• Coletar informações sobre o ataque
DESVANTAGENS
• Servidor de honeypot dedicado
• Servidor de honeypot não deve ser confiável
BOAS PRÁTICAS
• Grandes redes devem atualizar os pacotes preferencialmente de forma automática;
• Quando a atualização dos pacotes de assinatura for necessária, deve ser baixada para um
servidor seguro na rede de gerência, com um HIDS/HIPS instalado;
• Criar uma nova assinatura para detectar e mitigar um ataque específico, se a atualização
não existir;
• O pacote de assinaturas deve ser disponibilizado em um servidor FTP dedicado e seguro.
Com acesso somente para leitura, garantido às contas que os sensores utilizarão par ao
download interno;
• Agendar a hora do dia em que os sensores deverão verificar as atualizações, de forma
automática no servidor FTP interno. Priorizando o horário de menor atividade
momentânea
• Sensores e consoles de gerenciamento devem suportar os mesmos níveis de assinatura.
TÉCNICAS DE CRIPTOGRAFIA E AUTENTICAÇÃO
CRIPTOLOGIA
Criptografia
Criptoanálise
Esteganografia
Criptografia
• kryptós(cripto): “escondido”;
• gráphein(grafia): “escrita”.
• Ocultar informação de pessoas não autorizadas;
• Encriptação – torna a mensagem incompreensível.
Criptoanálise
• Decodificar mensagens sem conhecer a chave secreta
Esteganografia
 Ocultar mensagens dentro de outras
ORGANOGRAMA BÁSICO DA ESCRITA SECRETA
CRIPTOGRAFIA – SERVIÇOS DE SEGURANÇA
Confidencialidade/privacidade/segredo
• Garantir que a mensagem somente possa ser lida pelo receptor desejado
Autenticação de origem
• Garantir quem originou a mensagem
Integridade da mensagem
• Garantir que a mensagem não tenha sido alterada
CRIPTOGRAFIA – TRADICIONAL OU CLÁSSICA

CATEGORIAS:
• Cifras de Transposição (rearranja as letras)
Cifras de Transposição reordenam os símbolos, mas não os disfarçam
• Cifras de Substituição (substitui as letras)
As cifras de substituição preservam a ordem dos símbolos no texto claro, mas
disfarçam esses símbolos
CIFRAS TRANSPOSIÇÃO – CERCA DE ESTRADA DE FERRO

• Criada na Guerra Civil;
• As letras alternadas do texto puro são alternadas para formar o texto criptografado.
CERCA DE ESTRADA DE FERRO - FUNCIONAMENTO
• Cifrar o texto Universidade Estacio de Sa

CIFRAS DE SUBSTITUIÇÃO – CIFRA DE CESAR
• Monoalfabético;
• Cifra de César: Cifrar – E(x)=(x+3) mod 26
Decifrar – D(x)=(x-3) mod 26
• http://crypto.interactive-maths.com/caesar-shift-cipher.html#act
CIFRA DE CÉSAR - FUNCIONAMENTO
• Alfabeto inglês com 26 caracteres

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a bc de f ghi j k l mno p q r s t uvw xy z

• Deslocamento de 3 – primeiro deslocamento

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

a b c de f gh i j k lmn o p q r s t uvw x y z
1
• Desloca
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 mento
a bc de f ghi j k l mno p q r s t uv w xy z de 3 –
segundo
a b c d e f g h i j k l mn o p q r s t u v w x y z
desloca
1 2 mento
• Deslocamento de 3 – terceiro deslocamento

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a bc de f ghi j k l mno p q r s t uv w xy z
a b c d e f g h i j k l mn o p q r s t u v w x y z
1 2 3 • O
alfabeto é circular
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c de f g h i j k l mno p q r s t uv w xy z
d e f g h i j k l mn o p q r s t u v w x y z a b c
• Cifrar o texto unesa

CIFRAS DE SUBSTITUIÇÃO – CIFRA DE VIGENERE
• Polialfabético;
• Imune a análise de frequência;
• As chaves podem variar por arquivo;
• Não devem ser pequenas evitando repetição de padrões.
• http://crypto.interactive-maths.com/vigenegravere-cipher.html#act
CIFRA VIGENÈRE- FUNCIONAMENTO

• Palavra chave sapo
• Cifrar o texto unesa
ORGANOGRAMA BÁSICO DA CRIPTOGRAFIA
CRIPTOGRAFIA DE CHAVE SIMÉTRICA (OU DE CHAVE ÚNICA)

• Utiliza um algoritmo e uma chave para cifrar e decifrar
• A chave tem que ser mantida em segredo
• Algoritmo + parte do texto cifrado, deve ser INSUFICIENTE para obter a chave
• As duas principais características:
• Cifradores de blocos
• Cifradores de fluxo
Cifradores de blocos:
• Divide a mensagem em blocos de tamanho fixo na momento da cifragem dos dados,
exemplo – DES e AES
Cifradores de fluxo:
• Cifra cada dígito do texto plano por vez
• Menos utilizados que os de bloco
• Exemplo – RC4
• garantir a confidencialidade dos dados.
• não comprometer a confidencialidade da chave
• métodos criptográficos que usam chave simétrica são: DES, 3DES, AES, IDEA, BLOWFISCH,
RC2, RC4, RC5, CAST, TWOFISH e SERPENT
• Utiliza um algoritmo e um par de chaves, se cifrado com uma chave somente decifra com
a outra
• Uma chave é pública e a outra deve ser mantida em segredo(privada ou secreta)
• Pode ser armazenada em: Arquivo, smartcard ou token
• Como requisito de segurança: Algoritmo + parte do texto cifrado + uma das chaves, NÃO
deve ser suficiente para obter a outra chave
• métodos criptográficos que usam chaves assimétrica são: RSA, DAS, ECC e DIFFIE-
HELLMAN.
PROBLEMAS DA CRIPTOGRAFIA SIMÉTRICA

• A distribuição e armazenamento das chaves secretas?
• Quantas chaves secretas são necessárias para uma comunicação entre “n” indivíduos?
• Garantir que a chave pública é realmente de quem diz ser?
• Necessita de infraestrutura para armazenamento das chaves públicas?
DES - DATA ENCRYPTION STANDARD - SIMÉTRICO

• Desenvolvido pela IBM em 1977
• Chave de 56 bits
• Quebrado por força bruta em 1997
• Encripta em blocos de 64 bits
• Utiliza a técnica de substituição
• A partir de 1993 o NIST recomenda o 3DES
• Primeiro disponibilizado abertamente ao mercado
3DES – TRIPLO DATA ENCRYPTION STANDARD - SIMÉTRICO

• Desenvolvido pela IBM em 1979
• Chave de 112 ou 168 bits
• Variação do DES
• 112 bits - utiliza 2 chaves e 3 fases EDE:
 1ª fase mensagem Encriptada com a chave K1
 2ª fase Decifragem utilizando a chave K2
 3ª fase nova Encriptação utilizando a chave K1
• 168 bits - utiliza 3 chaves e 3 fases EEE:
 1ª fase mensagem Encriptada com a chave K1
 2ª fase Encriptada utilizando a chave K2
 3ª fase Encriptação utilizando a chave K3
AES – ADVANCED ENCRYPTION STANDARD - SIMÉTRICO

• Originado: concurso do NIST (National Institute of Standards and Technology) em 2003
• Requisitos do concurso:
 Divulgado publicamente e NÃO possuir patentes
 Cifrar em blocos de 128 bits
 Chaves de 128, 192, 256 bits
 Implementado em hardware ou software
 Ser mais rápido que o 3DES
• Com a chave de 128 bits, possibilita 2128 chaves
• Uma máquina com 1 bilhão de processadores paralelos, avaliando uma chave a cada pico-
segundo, levaria aproximadamente 1010 anos para pesquisar esse espaço de chaves.
• Baseado na teoria matemática de Campo de Galóis, possibilitando a demonstração de
suas propriedades de segurança.
IDEA – INTER. DATA ENCRYPTION ALGORITHM - SIMÉTRICO
• Criado por Massey & Xuejia, 1990
• Chave de 128 bits
• Patenteado na Suiça, ASCOM Systec
• Implementado em software ou hardware
• Sua implementação por software é mais rápida que do DES
• Utilizado no mercado financeiro e no PGP (criptografia largamente utilizada em e-mail)
BLOWFISH- SIMÉTRICO
• Criado por Bruce Schneier
• Chave de 32 a 448 bits, chaves de tamanho variável
• Encripta blocos de 64 bits
• Utilizador opta por maior segurança ou maior desempenho
• Não patenteado
• Aperfeiçoamento do Twofish
RC2 - RIVEST CIPHER 2 - SIMÉTRICO

• Desenvolvido por Ronald Rivest, RSA Data Security, Inc.
• Utilizado no protocolo S/MIME, criptografia de e-mail corporativo
• Chave de 8 a 1024 bits (variável)
• Encripta em blocos de 64 bits
• 3 vezes mais rápido que o DES (software)
• Para exportação 40 bits (acordo com o governo dos EUA)

• Utilizado no protocolo SSL (Netscape)
• Chave de até 2048 bits (variável)
• Encripta em blocos de tamanho variável
• 4 vezes mais rápido que o DES (software)

• RC5-w/r/b onde:
 w = tamanho dos blocos
 r = quantidade de vezes que o algortimo será aplicado
 b = número de BYTES que constitui a chave
• RC5-32/16/7 é equivalente ao DES.
•
RSA (RIVEST, SHAMIR E ADELMAN) - ASSIMÉTRICO
• Desenvolvido pela RSA Data Security, Inc. em MIT 1977;
• Utiliza 2 chaves distintas – Pública e outra Privada;
• Codificado por uma das chaves somente seu par pode decifrar;
• Algoritmo lento, deve encriptar textos pequenos;
• Opção para TROCA de chaves únicas ou secretas;
• Pode ser utilizado para assinatura digital, garantindo o não repúdio;
• Utiliza números primos grandes;
• Consiste na facilidade em multiplicar números primos para obter um terceiro número e
a dificuldade de recuperar aqueles dois primos a partir do terceiro número (fatoração);
• RSA com chave de 512 quebrado em 1999 pelo Instituto Nacional de Pesquisa da Holanda
(ajuda de cientistas de 6 países);
• Utilizado pela ICP-Brasil a partir de 2012 aumentou a chave de 2048 para 4096 bits;
DIFFIE HELLMAN - ASSIMÉTRICO

• Baseado no problema de calcular algoritmos discretos;
• Sistema de chave pública mais antigo em uso;
• NÃO permite ciframento nem assinatura digital;
• Permite aos dois lados da comunicação derivarem uma chave sem necessidade de troca
de informação secreta;
• Troca de chaves através canais NÃO seguros:
 Garante confidencialidade;
 NÃO garante autenticidade
FUNÇÃO DE RESUMO (HASH)

• É um método criptográfico aplicado a uma informação, independente do tamanho, gera
um hash de tamanho único e fixo;
• Utilizado para:
 Verificar a integridade de um arquivo;
 Gerar assinaturas digitais.
• Exemplos SHA-1, SHA-256 E MD5;
• não deve ser possível obter a informação original a partir de um valor de hash
• ONE WAY - NÃO deve ser possível obter a informação original a partir de um valor de
hash;
• HASH limitado a 128, 256, 512 bits etc
• Colisões hashes iguais para entradas diferentes;
SHA-1 – SECURE HASH ALGORITHM 1 - HASH

• Desenvolvido pela NSA
• Função de espalhamento unidirecional invertida
• Hash de 160 bits
• Baseado no MD4
• Encontrada falha de segurança em 2005
SHA-2 – SECURE HASH ALGORITHM 2 - HASH

• Desenvolvido pela NSA
• Baseado no MD4
• Falha de segurança encontrada em 2005
• SHA-256 – 256 bits e SHA-512 – 512 bits
• Utilizado a partir de 2012 como padrão IPC-Brasil
MD5 – MESSAGE DIGEST 5 - HASH

• Desenvolvido por Ronald Rivest do MIT, RSA Data Security
• Um hash de somente 128 bits causa preocupações
• Existem fraquezas em parte do algoritmo, porém não afetou o mesmo de forma global
ASSINATURA DIGITAL
ESCOLHER UM ALGORITMO DE CRIPTOGRAFIA SEGUNDO A MICROSOFT:

 Nenhum algoritmo é ideal para todas as situações
PRINCÍPIOS GERAIS:
 A criptografia segura geralmente consome mais recursos da CPU que criptografia menos
segura;
 As chaves extensas geralmente produzem uma criptografia mais segura que as chaves
mais curtas;
 A criptografia assimétrica é mais fraca que a criptografia simétrica, que usa o mesmo
comprimento de chave mas é relativamente lenta;
 Codificações em bloco com chaves extensas são mais seguras que codificações em fluxo;
 Senhas longas e complexas são mais seguras que senhas curtas;
 Se você estiver criptografando muitos dados, deve criptografá-los usando uma chave
simétrica e criptografar a chave simétrica com uma chave assimétrica;
 Dados criptografados não podem ser compactados, mas dados compactados podem ser
criptografados. Se você usar compactação, deverá compactar os dados antes de
criptografá-los.
VULNERABILIDADES WEB E CONCEITO GERAL DE PENTEST
PENTEST – VISÃO GERAL

Também conhecido como:
 teste de invasão ou teste de intrusão ou teste de penetração
OBJETIVO
 verificar a segurança de um ambiente, plataforma ou sistema, através de simulação de
ataques e exploração de vulnerabilidades.
O PENTEST verifica o grau de dificuldade para invadir uma rede ou sistema

computacional, procurando e identificando suas vulnerabilidades. Inicialmente com ação
idêntica a do atacante, identifica as exposições e seus riscos par depois procurar uma
solução.
METODOLOGIA BASEADA EM PADRÕES INTERNACIONAIS

ISSAF – Information Systems Security Assessment Framework
OSSTMM – The Open Source Security Testing Methodology Manual
NIST-SP 800-42 – Guideline on network Security Testing
OWASP – Open Web Application Security Testing Guide
PENTEST – ABORDAGEM & METODOLOGIA - ISSAF
PENTEST – CLASSIFICAÇÃO
Quanto a quantidade de informações fornecidas ao auditor:
 teste caixa-preta ou teste de penetração zero
 teste caixa-cinza ou teste de penetração parcial
 teste caixa-branca ou teste de conhecimento
Agora vamos detalhar cada uma delas:

• teste caixa-preta : Acesso a informações públicas do alvo, o auditor encontra todas as
dificuldades de um ataque real. Também conhecido como teste externo.
• teste caixa-cinza: Acesso a informações facilmente obtidas nos processos de
reconhecimento e mapeamento realizadas por um atacante, acelerando o processo de
auditoria.
• teste caixa-branca: Acesso a praticamente todas as informações do alvo como:
 Topologia; plataforma; linguagens; códigos fonte; endereçamento IP etc
 Simula ataque de funcionários e ex-funcionários. Também conhecido como teste
interno
Quanto ao conhecimento da equipe de TI da auditoria de segurança:

 teste duplo-cego
 teste duplo-cinza
 teste reverso
Agora vamos detalhar cada uma delas:
• teste duplo-cego: Similar ao teste caixa-preta, auditor sem informações e a equipe de

segurança de TI não é informada da execução da auditoria de segurança.
• teste duplo-cinza: Similar ao teste caixa-cinza, sendo que a equipe de segurança de TI

tem conhecimento do período e o escopo dos testes, desconhecendo o momento exato
e como será executado.
• teste reverso: o auditor recebe todas as informações disponíveis sobre o alvo e a equipe
de TI não tem ciência do teste.
PENTEST – CLASSIFICAÇÃO VISÃO GRÁFICA

GRÁFICO
Conhecimento
Total Auditor 0 Equipe de TI Total
Duplo-cego
Duplo-cinza
Reverso
LEVANTAMENTO DE INFORMAÇÕES EM FONTES PÚBLICAS

 Redes sociais
 Grupos de discussão
 Anúncios de emprego
 WHOIS
 DNS
Informações facilitadoras para o teste de invasão, podem ser obtidas em:
• Redes sociais: Nomes de funcionários, suas preferências
Respostas para perguntas secretas de recuperação de senha
• Grupos de discussão: Dúvidas postadas nesses grupos em geral possuem riquezas de

detalhes do problema: a dificuldade, os arquivos de configuração, versão do software
etc
• Anúncios de emprego: Indicam área da empresa carente de profissional qualificado.

Exemplo solicitação de especialista em CISCO, provavelmente possui deficiência na
configuração de infra
• WHOIS: Utilizado para obter informações sobre o nome de domínio, endereço IP,
proprietários, contatos dos responsáveis, servidores de nome etc.
• DNS: Registros do servidor DNS, e-mail do hostmaster, nome dos ativos de redes e na
pior das hipóteses a transferência de zona estar aberta para qualquer IP.
TESTANDO APLICAÇÕES WEB

SCANNER DE APLICAÇÃO WEB
Alguns exemplos de scanner de aplicação web:

 W3AF
 Samurai WTF
 Nikto
 Paros
Agora vamos detalhar as ferramentas:
 W3AF: - é o projeto Web Application Attack and Audit Framework, com o objetivo de seu
framework buscar e explorar vulnerabilidades de aplicações web.
http://w3af.sourceforge.net
 Samurai WTF : - o ambiente do framework Samurai Web Testing Framework é live Linux
configurado para funcionar como um ambiente de web pen-testing.
http://samurai.inguardians.com
 Nikto: - é uma ferramenta scanner de servidor, com o objetivo de realizar testes contra
múltiplos itens em servidores web.
http://cirt.net/nikto2
 Paros: - é um proxy HTTP e HTTPs, para interceptação e ou alteração de dados entre o

cliente e o servidor. Esses dados incluem cookies, campos de formulários etc.
http://www.parosproxy.org/
AVALIANDO APLICAÇÕES WEB

 BurpSuite
 Websecurify
 CAT
 BurpSuite: - plataforma integrada com o objetivo de atacar e testar aplicações web.

http://portswigger.net
 Websecurify: - ferramenta com o objetivo de identificar automaticamente aplicações
web vulneráveis, utilizando tecnologia fuzzing e advanced discovery.
http://www.websecurify.com
 CAT: The Manual Web Application Audit - aplicação com o objetivo de facilitar testes
manuais de invasão em aplicações web.
http://cat.contextis.co.uk
AUDITORIA DE BANCO DE DADOS
 DB Audit Free Edition

 SQL Map
 DB Audit Free Edition: - ferramenta de auditoria e análise de segurança para bancos de

dados Oracle, Sybase, DB2, MySQL e Microsoft SQL Server. http://www.softtreetech.com
 SQL Map: - ferramenta automática em linha de comando para testes de sql-injection.

http://sqlmap.sourceforge.net
OWASP TOP 10 RISCOS DE SEGURANÇA EM APLICAÇÕES

 A1 – Injeção
 A2 – Quebra de Autenticação e Gerenciamento de Sessão
 A3 – Cross-Site Scripting (XSS)
 A4 – Referência Insegura e Direta a Objetos
 A5 – Configuração Incorreta de Segurança

 A6 –Exposição de Dados Sensíveis
 A7 – Falta de Função para Controle do Nível de Acesso
 A8 – Cross-Site Request Forgery (CSRF)
 A9 – Utilização de Componentes Vulneráveis Conhecidos
 A10 – Redirecionamentos e Encaminhamentos Inválidos
Link esclarecedor das TOP 10

https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf
SEGURANÇA NO COMÉRCIO ELETRÔNICO
OBJETIVO
Identificar as principais características do comércio eletrônico as técnicas
utilizadas para prover segurança ao mesmo.
CONCEITO
Comércio Eletrônico (e-commerce) pode ser entendido como uma combinação de
tecnologias, aplicações e procedimentos negociais que permitem a transação on-line de
bens e serviços entre governos, sociedades e empresas.
Um conceito básico para comércio eletrônico seria defini-lo como qualquer
transação comercial por meio eletrônico.
FUNDAMENTO DO COMÉRCIO ELETRÔNICO

 Segurança;
 Criptografia;
 Moedas e pagamentos eletrônicos
HISTÓRICO
A Internet nasceu em 1969, sob o nome de ARPANET, resultado de um projeto de
interconexão dos computadores de instituições de pesquisa, de ensino e governamentais.
Essa rede fornecia os serviços básicos de correio eletrônico, transferência de arquivos e
compartilhamento de impressoras, e foi projetada para uso de uma comunidade restrita
de usuários que confiavam mutuamente entre si (SMITH & GIBBS, 1994). Não foi
concebida para um ambiente comercial e sendo assim é vulnerável a vários tipos de
ataques.
Originalmente, comércio eletrônico significava a facilitação de transações
comerciais eletrônicas, usando tecnologias como:
 Eletronic Data Interchange (EDI) - troca de documentos via sistemas de teleinformática
entre duas ou mais organizações de forma padronizada.
 Eletronic Funds Transfer (EFT) - transferência eletrônica de dinheiro de uma conta para
outra.
RISCOS DE COMÉRCIO ELETRÔNICO

Atualmente é um tipo de transação comercial feita especialmente através de um
equipamento eletrônico, aplicada aos negócios, criando, alterando ou redefinindo
valores.
 Receio do consumidor em comprar online;
 Questões de segurança da informação;
 Transações fraudulentas;
 Questões de privacidade;
 Compras baseadas apenas em fotos sem manusear o produto;
 Possível dificuldade com devoluções.
DESAFIOS
A segurança é um dos fatores que distingue as lojas de comércio eletrônico
perante os consumidores.
Consumidores passam a exigir mais garantias, a preocupação torna-se maior e
isso cria um novo e promissor cenário: o de oferecer aos consumidores algo além da
qualidade, da garantia de entrega e dos melhores preços. A garantia de seu direito à
privacidade.
PRINCIPAIS AMEAÇAS
• Acesso não autorizado
• Alteração de dados
• Monitorização
• Spoofing
• Negação de serviço
• Repudio
• Privacidade
• Autenticação
• Autorização
• Integridade
• Não repudio
CONCEITOS DO SISTEMA DE PAGAMENTOS BRASILEIRO - SPB

O SPB é o conjunto de procedimentos, regras, instrumentos e operações
integrados que, por meio eletrônico, que dão suporte à movimentação financeira entre
os diversos agentes econômicos do mercado brasileiro, tanto em moeda local quanto
estrangeira, visando a maior proteção contra rombos ou quebra em cadeia de
instituições financeiras.
Função básica - permitir a transferência de recursos financeiros, o
processamento e a liquidação de pagamentos para pessoas físicas, jurídicas e entes
governamentais.
REDE DO SISTEMA FINANCEIRO NACIONAL (RSFN)
A RSFN é a estrutura de comunicação de dados, implementada por meio de
tecnologia de rede, criada com a finalidade de suportar o tráfego de mensagens entre
as instituições financeiras titulares de conta de reservas bancárias, entre as câmaras e
os prestadores de serviços de compensação e de liquidação, a Secretaria do Tesouro
Nacional e o Banco Central, no âmbito do Sistema de Pagamentos Brasileiro.
CONCEITOS DE SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS

As preocupações com pagamentos eletrônicos e segurança incluem:
 A natureza eletrônica quase anônima das transações que ocorrem entre os sistemas de
computadores em rede de compradores e vendedores;
 O processo de pagamento no comércio eletrônico é complexo devido à ampla variedade

de alternativas de débito e crédito e instituições financeiras e intermediários que
podem participar do processo;
 Existe um grande número de diferentes sistemas eletrônicos de pagamento;
 Nas compras online na Internet as informações de cartão de crédito do cliente estão

sujeitas à interceptação por sniffers de rede, softwares que reconhecem facilmente os
formatos dos números dos cartões de crédito;
MECANISMOS DE SEGURANÇA
Basicamente, referem-se as técnicas que asseguram que dados armazenados ou
em transferência não sejam acessados ou alterados. A maioria das medidas de
segurança envolve encriptação de dados e de senhas. A encriptação, ou cifragem , é a
transformação de dados para uma forma ilegível que impede ou dificulta o seu
entendimento. A senha ou frase secreta possibilita a um usuário o acesso a um
determinado programa ou sistema. Além destas medidas, convém citar protocolos de
segurança, baseados em algoritmos de encriptação, e às barreiras digitais.
Como mecanismos de segurança no comércio eletrônico podem ser citados os
seguintes:
• Barreiras digitais (firewall)
• Criptografia de chave simétrica

• Criptografia de chaves assimétricas
• Protocolos de autenticação
• Certificados digitais
• Assinaturas digitais
• Selos digitais.
FIREWALL
Solução de segurança baseada em hardware ou software, que a partir de um
conjunto de regras ou instruções, analisa o tráfego de rede para determinar que
tratamento será dado aos pacotes de transmissão ou recepção de dados. O objetivo de
um Firewall é bloquear tráfego de dados indesejado e liberar acessos autorizados.
CRIPTOGRAFIA
Encriptação consiste em converter mensagens e dados para um formato ilegível
com objetivo de proteger o seu conteúdo. Apenas quem possuir a chave a chave secreta
poderá fazer a decifragem. Por vezes, é possível decifrar com uso de força bruta.
Contudo, as técnicas modernas buscam tornar a encriptação virtualmente
"inquebráveis".
De acordo com o tipo de chave utilizada, os métodos criptográficos podem ser
subdivididos em duas grandes categorias: criptografia de chave simétrica e criptografia
de chaves assimétricas.
Criptografia de chave simétrica (ou de chave única): utiliza uma mesma chave
tanto para codificar como para decodificar informações, sendo usada principalmente
para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada
e decodificada por uma mesma pessoa não há necessidade de compartilhamento da
chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos
diferentes, é necessário que a chave secreta seja previamente combinada por meio de
um canal de comunicação seguro (para não comprometer a confidencialidade da
chave).
Criptografia de chaves assimétricas (ou de chave pública): utiliza duas chaves
distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser
mantida em segredo por seu dono. Quando uma informação é codificada com uma das
chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para codificar
depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e
não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como um
arquivo no computador, um smartcard ou um token.
O RSA é um exemplo de método criptográfico utilizado.
RSA (Rivest, Shamir e Adelman)

Algoritmo desenvolvido pela RSA Data Securtuy, Inc. O transmissor possui à
chave pública do receptor e a utiliza para encriptar o dado que será desencriptado pela
chave privada do receptor.
Devido ao fato de ser um pouco lento, este algoritmo é utilizado em textos
pequenos. Apresenta-se como uma boa solução em utilização conjunta com o DES ou
outro algoritmo de chave única.
O funcionamento torna-se bastante simples e seguro: utiliza-se o DES, por
exemplo, para a encriptação do texto a ser transmitido, ficando a cargo do RSA a
codificação da chave a ser utilizada pelo DES. Neste caso, a função do RSA se torna um
meio seguro para a troca da chave a ser utilizada pelo DES entre o receptor e o
transmissor.
É possível utilizar o RSA para providenciar assinatura digital garantindo o não-
repudio.
CERTIFICADO DIGITAL
Associa a identidade de um titular a um par de chaves eletrônicas (uma pública e
outra privada) que, usadas em conjunto, fornecem a comprovação da identidade. Pode
ser usado em uma grande variedade de aplicações, como comércio eletrônico, Intranet,
Internet, transferência eletrônica de fundos, etc.
O Certificado Digital é emitido e assinado por uma Autoridade Certificadora
Digital (Certificate Authority), que o emite utilizando as mais avançadas técnicas de
criptografia disponíveis e de padrões internacionais (norma ISO X.509 para Certificados
Digitais).
 INFORMAÇÃO DE ATRIBUTO: - informação sobre o objeto que é certificado. Em sendo
uma pessoa, dados como nome, nacionalidade, endereço, e-mail, organização, dentre
outros.
 CHAVE DE INFORMAÇÃO PÚBLICA: - é a chave pública da entidade certificada. O

certificado atua para associar a chave pública à informação de atributo descrita antes e
pode ser qualquer chave assimétrica, mas usualmente é uma chave RSA
 ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA): – a CA assina os dois primeiros

elementos e, então, adiciona credibilidade ao certificado. Quem recebe o certificado
verifica a assinatura e acredita na informação de atributo e chave pública associadas, se
acreditar na Autoridade em Certificação.
FUNÇÃO DE HASH (resumo)

Uma função de resumo é um método criptográfico que, quando aplicado sobre
uma informação, independente do tamanho que ela tenha, gera um resultado único e
de tamanho fixo, chamado hash.
APLICAÇÃO DE HASH (resumo)

• verificar a integridade de um arquivo armazenado;
• verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo

em si, também disponibilizam o hash correspondente, para que você possa verificar se
o arquivo foi corretamente transmitido e gravado);
• gerar assinaturas digitais.
ASSINATURA DIGITAL
Os sistemas de assinatura digital podem ser divididos em:
 Assinatura Biométrica
 Assinatura Codificada

 Assinatura Biométrica: – sistemas que dependem de alguma característica física do
usuário para verificar a sua identidade.
 Assinatura Codificada: – sistemas que têm uma abordagem mais transparente. Estas
tecnologias anexam uma assinatura exclusiva codificada – algumas vezes chamada de
certificado digital – a um documento ou transação.
ASSINATURA DIGITAL
Assinatura codificada resume-se a um código que pode ser enviado juntamente
com uma mensagem que identifica de forma única o emissor da mensagem. Num
sistema com chave pública, qualquer pessoa pode cifrar uma mensagem, mas somente
o destinatário da mensagem pode decifrá-la.
Para contornar a baixa eficiência característica da criptografia de chaves
assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é
mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação
toda.
SELO DIGITAL
Serve para gerar chancelas cronológicas que associam data e hora a um
documento digital sob a forma de criptografia forte. Terá grande aplicação para fazer
prova da existência de certo documento eletrônico em determinada data.
Concretamente, como exemplo, um pesquisador pode descrever seu achado
científico em documento e selá-lo com selo eletrônico digital. Posteriormente, poderá
comprovar a antecedência de sua idéia, a despeito de publicação inédita por parte de
outros pesquisadores.
PROTOCOLOS UTILIZADOS EM SEGURANÇA NO E-COMMERCE

 SET - Secure Electronic Transaction
 SSL - Secure Socket Layer

 HTTPS - Hyper Text Transfer Protocol Secure
Agora vamos detalha-los:

 SET - Secure Electronic Transaction: - é um padrão que permite transações seguras de
cartão de crédito via Internet. O protocolo SET garante a confidencialidade da
informação pelo uso de encriptação das mensagens. Utilizando assinaturas digitais, o
SET garante também a integridade dos dados
 SSL - Secure Socket Layer: - foi projetado para aplicações clientes/servidor, prevenindo
intrusões não desejadas em transmissões de dados, alterações de dados, ou falsificação
de mensagens.
 HTTPS - Hyper Text Transfer Protocol Secure: - é a versão segura do HTTP (Hyper Text
Transfer Protocol). Meios seguros de transferência de dados usando o protocolo HTTPS
na internet são necessários para efetuar transações online seguras, como os serviços
bancários ou compras online.
BOAS PRÁTICAS - REFLEXÃO

O MAIOR problema do comércio eletrônico é a falsa sensação de segurança. O
administrador executa a instalação e customização dos mecanismos de segurança e
“dorme em berço esplendido”.
O MAIOR ERRO é NÃO acompanhar a pertinência das atualizações realmente
necessárias e as vulnerabilidades apresentadas pelos mecanismos de segurança
instalados.
Manchete publicada no site http://blog.siteblindado.com/

Heartbleed: Falha faz cerca de 70% dos SSLs do mundo pararem de funcionar
“... foi identificada uma vulnerabilidade afetando todos os sites que utilizam
Open SSL, biblioteca utilizada para emitir e implementar certificados nos servidores. A
vulnerabilidade é chamada Heartbleed. “
CONCLUSÃO
Apesar da Internet não ser um meio seguro, existem vários mecanismos
disponíveis para garantir que transações de comércio eletrônico sejam feitas com certa
tranquilidade.
Implementar segurança lógica utilizando protocolos de seguros, criptografia e
certificados, são passos essenciais para definir segurança básica. Acompanhar as
vulnerabilidades descobertas e atualizar o sistema operacional e todos os software
envolvidos é vital para seu comércio eletrônico.
PROTOCOLOS SEGUROS (TCP/IP)
PROTOCOLOS E SUA VERSÃO SEGURA
RSH – Remote Shell, TCP, porta 514

SSH – Secure Shell, TCP, porta 22
FTP – File Transfer Protocol, TCP, porta 21
SFTP – SSH FTP (não necessita do canal de dados), TCP, porta 22 (do SSH)
FTPS – FTP – SSL/TLS (certificado), TCP porta 21
SCTP – Stream Control Transmission Protocol, protocolo da camada de
transporte.
Agora vejamos alguns em detalhes!
SSL – SECURE SOCKET LAYER
SSL – Secure Socket Layer e seu sucessor (desenvolvido pela Netscap)

TLS – Transport Layer Security
• Ambos provêem transporte seguro às conexões entre as aplicações, exemplo Servidor
Web com o browser.
TLS pode ser visto como SSL 3.1

HTTPS = HTTP sobre SSL ou TLS
SSL – SESSÃO E CONEXÃO

• sessão é uma associação entre um cliente e um servidor;
• sessões são stateful, o estado da sessão inclui algoritmos de segurança e parâmetros;
• sessão pode incluir múltiplas conexões seguras entre o mesmo cliente e servidor;
• conexões da mesma sessão compartilham o estado da sessão;
• sessões são usadas para evitar a custosa negociação de novos parâmetros de segurança
para cada conexão;
SSL – SECURE SOCKET LAYER

Arquitetura
SSL – COMPONENTES
SSL Handshake Protocol

• negociação de algoritmos de segurança e parâmetros
• troca de chaves
• autenticação do servidor e opcionalmente autenticação de cliente
SSL – COMPONENTES
SSL Change Cipher Spec Protocol

• uma única mensagem que indica o final do handshake SSL
SSL Alert Protocol

• mensagens de erro (avisos e alertas fatais)
SSL Record Protocol

• fragmentação
• compressão
• mensagem de autenticação e proteção de integridade
• criptografia
SSL – HANDSHAKE PROTOCOL - OVERVIEW
SSL – RECORD PROTOCOL – OVERVIEW DO PROCESSAMENTO
SSL – FUNCIONAMENTO RESUMIDO
SSL – FUNCIONAMENTO RESUMIDO (fase 2)

IPSec – IP SECURITY PROTOCOL

Serviços que o IPSec pode fornecer:
• integridade sem conexão;
• autenticação de origem de dados;
• proteção contra ataques “replay”;
• confidencialidade;
confidencialidade limitada ao fluxo de tráfego.

• fornece segurança ao IP e/ou camada superior (TCP e UDP);
• implementado por software ou hardware em um host ou gateway de segurança (roteador

ou firewall).
IPSec – MÓDULOS
MÓDULOS DO IPSec
• Security Policy Database (SPD) especificações de segurança aplicadas a cada pacote;
• Security Association Database (SAD) parâmetros de segurança (algoritmos de

criptografia, o modo usado, os dados de inicialização, chaves de sessão) usado para impor
uma política específica.
IPSec – IP SECURITY PROTOCOL
A conexão de um módulo com o outro é criado através de uma Associação de
Segurança (SA), corresponde a uma entrada no SAD;
SA é uma conexão unidirecional que define o tipo de serviços e mecanismos de
segurança utilizados entre dois módulos;
IPSec = 2 modos de operação e 2 protocolos .
IPSec – CARACTERÍSTICAS DOS PROTOCOLOS AH E ESP

Authentication Header (AH)
• RFC 1826;
• Integridade Sim
• Autenticação Sim
• Não-repúdio Depende do algoritmo de criptografia
• Encriptação Não
• Proteção contra repetição Sim
Encap. Security Payload (ESP)

• RFC 1827;
• Integridade Sim
• Autenticação Depende do algoritmo de criptografia
• Não-repúdio Não
• Encriptação Sim
• Proteção contra repetição Sim
IPSec – PROTOCOLOS E SEUS MODOS

• modo de transporte - protege cargas da camada superior de um pacote IP (TCP, UDP), SA
entre 2 hosts;
• modo de túnel - protege um pacote IP inteiro, incluindo a sua carga útil (VPN), SA entre 2
gateways ou host-gateway
IPSec - ARQUITETURA
• DOI - Domain of Interpretation, define formato do payload, tipos de trocas, conveções
para nomear informações de segurança relevante, como políticas ou algoritmos
criptográficos.
ENCAPSULATED SECURITY PAYLOAD (ESP)

• Deve criptografar e/ou autenticar cada pacote
• A criptografia ocorre antes da autenticação
• A autenticação é aplicada aos dados do cabeçalho IPsec, bem como os dados contidos
como carga útil
ESP – MODO DE TRANSPORTE Vs. TUNELAMENTO
AUTHENTICATION HEADER (AH)

• A autenticação é aplicada a todo o pacote, com os campos mutáveis no cabeçalho IP
zerada
• Se ambos AH e ESP são aplicados a um pacote, AH segue ESP
AH – MODO DE TRANSPORTE Vs. TUNELAMENTO
IPSec - INTERNET KEY EXCHANGE (IKE)

 modo de negociação principal de uma ISAKMP SA, que será usado para criar IPSec SAs
 três passos
 SA negociação
 Diffie-Hellman e troca de nonce
 autenticação
INTERNET KEY EXCHANGE (IKE)

• Fase I
• Estabelecer um canal seguro (ISAKMP SA)
• Autenticar a identidade do computador
• Fase II
• Estabelece um canal seguro entre computadores destinado à transmissão de dados (IPsec

SA)
INTERNET SECURITY ASSOCIATION AND KEY MANAGEMENT PROTOCOL - ISAKMP

• Main mode
• Kerberos
• Certificate
• Pre-shared Key
• Quick Mode
DNSSec, DOMAIN NAME SYSTEM SECURITY EXTENSIONS

• RFC 2065
• Implementa mecanismos de segurança ao protocolos DNS, verificando a autenticidade e

integridade do resultado das consultas.
• Utiliza criptografia assimétrica (chave pública)
• DNSSec fornece 3 serviços distintos:
 distribuição de chaves,
 certificação da origem dos dados e
 certificação da transação e requisição.
DNSSec, DOMAIN NAME SYSTEM SECURITY EXTENSIONS

Resource Records (RRs):
• DNSKEY – armazena a chaves públicas para assinatura do domínio;
• RSIG - assinar outros RRs;

• NSEC – (Next Secure)permite autenticar uma resposta negativa;
• DS – (Delegacion Signer)garantir a continuidade do "canal de segurança" na delegação de

zonas.
Agora vejam cada uma das ferramentas e seus exemplos:
 DNSKEY – exemplo:
estacio.br. 84600 IN DNSKEY 256 3 5

djdfjiajfm4286360WDfjkru347&$3jifdhcmjiji1702kso
estacio.br. 84600 IN DNSKEY 257 3 5
WMFghi45930idkzm(8*7&23#djfhvn2129824bc3ff20
1ª linha - Zone Signing Key (ZSK), para assinar os registros da zona;
2ª linha - Key Signing Key (KSK). para assinar os registros DNSKEY.
Problema distribuição da chave pública
 RSIG – exemplo:
pos1.estacio.br. A 192.168.0.1
pos1.estacio.br. RISG A
ZSdfgmc78237djdfjiajfm420WDfjkru347&$3jifdhcmjijjh32450sxjuix5
O processo de assinatura é realizado off-line;
O NS recursivo recebe como resposta:
RRSet (registros consultados) +
RRSIG (assinatura do RRSet)
Checagem, executa a função hash no RRSet recebido, com a chave pública da zona
decriptografa o RRSIG. Se hash do RRSet = RRSIG decriptografado => Válido
SEGURANÇA EM REDES SEM FIO
MOTIVAÇÃO
• Não existem redes 100% seguras;
• Redes devem ser tratadas como mais seguras ou menos seguras;
• Gerenciamento de redes deve ser constante;
• NBR ISSO/IEC 17799 define Segurança da Informação.
OBJETIVOS EXPANDIDOS DE SEGURANÇA DE INFORMAÇÂO

 Confidencialidade
 Integridade
 Disponibilidade
 Irretratabilidade (não repúdio)
 Autenticação
Wi-Fi
Principais padrões
• 802.11a (54 Mbps, 5 GHz)
• 802.11b (11 Mbps, 2,4 GHz)
• 802.11g (54 Mbps, 2,4 GHz)
• 802.11n (300 Mbps, 2,4 GHz e 5 GHz)
MECANISMOS DE SEGURANÇA
 WEP (Wired Equivalenty Privacy): Pioneiro em proteção de redes sem fio; Utiliza
algoritmo RC4 que é apontado como ponto negativo; Vetor de inicialização de 24 bits e
chave compartilhada de 40 ou 104 bits; Utiliza método de autenticação por sistema
aberto ou por uso de chave compartilhada; Obsoleto no quesito segurança.
 WPA (Wi-Fi Protected Access): Corrigiu falhas e substituiu o WEP; Utiliza algoritmo RC4
com TKIP melhorando a segurança; Vetor de inicialização estendido de 24 para 48 bits;
Chave secreta entre 32 e 512 bits conhecida como PMK; Código de verificação de
mensagem (MIC) para erros no conteúdo do quadro; WPA Personal (PSK) – Utiliza chave
pré compartilhada entre AP e cliente; WPA Enterprise – Responsabilidade de
autenticação do AP é delegada a um servidor de autenticação (IEEE 802.1x/EAP).
 WPA2: Utiliza algoritmo AES; Como o WPA, utiliza chaves temporárias e código de
integridade de mensagem; Como o WPA, usa tecnologia de autenticação IEEE 802.1x/EAP
ou tecnologia PSK; Não pode ser executado no mesmo hardware que roda WPA;
 WPS (Wi-Fi Protected Setup): Padrão permite a configuração facilitada rede sem fio.Por
este padrão, os dispositivos podem ser adicionados a uma rede pelos seguintes modos:
PBC, PIN, NFC, UFD.
Detalharemos os métodos a seguir:

PBC - Push Button Configuration – Configurado por acionamento de um botão
existente no AP e outro no dispositivo;
PIN - Personal Identification Number – Ingressa na rede fornecendo o número de
identificação pessoal (PIN);
NFC Near Field Communication – Transferência de PIN sem necessidade de

configuração manual;
UFD USB Flash Drive – Flash USB utilizado para transferir dados entre o novo
dispositivo e o AP ou registro na rede. É opcional para os dispositivos WPS.
VULNERABILIDADES
 WEP: Necessidade de compartilhamento da chave com todos os integrantes da rede;
Vetor de inicialização curto (24 bits) gera possibilidade de repetição em redes com muito
tráfego; Uso do algoritmo de CRC-32 para detectar erros de transmissão.
 WPA: Algoritmo de combinação de chaves é fraco; Possibilidade de ataque de negação de

serviço gerado por envio de pacotes mal formados em menos de 60 segundos;
WPA-PSK é susceptível a ataque de dicionário.
 WPA2: Sujeito a ataque de negação de serviço, por não possuir proteção dos quadros de
gerenciamento e controle; Susceptível a ataques de dicionário, se o usuário PSK possuir
menos de 20 caracteres.
 WPS: PIN tem apenas 8 bits numéricos. Uma falha faz roteador enviar resposta que
permite ao atacante verificar se os 4 primeiros dígitos do PIN estão corretos e de
identificar os outros 4. Com o PIN descoberto cai o número de possíveis combinações de
1 bilhão para 11.000, viabilizando um ataque de força bruta.
SEGURANÇA FÍSICA
Posicionar o AP de forma a restringir o acesso ao equipamento;
Troca do equipamento, customizar as configurações de segurança (impedir nível
inferior de segurança);
Reinicialização (RESET) do equipamento retorna às configurações default, em
geral rede aberta e as senhas de administração retornam a padrões amplamente
divulgados.
TÉCNICAS DE INVASÃO
 Interrupção – invasor interrompe a passagem dos dados;
 Interseção – invasor coleta informações para uso futuro;
 Modificação – invasor monitora e altera dados enviados ao dispositivo atacado;
 Fabricação – invasor desenvolve dados a serem enviados ao dispositivo com objetivo de

ter controle total do dispositivo;
ATAQUES AS REDES SEM FIO

RISCOS INTERNOS
Vulnerabilidades devido à má configuração dos dispositivos ou configurações
inseguras por falta de perícia técnica na instalação dos equipamentos. Nestes casos não
ocorre a ação direta do atacante para expor a vulnerabilidade.
RISCOS EXTERNOS
Neste caso ocorre a ação direta do atacante para expor a vulnerabilidade.
 Negação de Serviço (DoS): Tem o objetivo de tornar os recursos do sistema indisponíveis;
 Mapeamento do Ambiente: Tem o objetivo de identificar o maior número de redes

disponíveis e conhecer tipos de segurança utilizadas por elas e possíveis pontos de
vulnerabilidades nas mesmas;
 ARP Spoofing: Tem o objetivo de fornecer um MAC address falso para um sistema alvo
para que ele direcione o tráfego para um destino diferente do legítimo;
 Associação Maliciosa (Access Point Spoofing): O atacante tem o objetivo de se passar por
um AP legítimo, fazendo com que todo tráfego dos usuários passe por ele.
FERRAMENTAS PARA REDES SEM FIO

Algumas ferramentas disponíveis para uso em redes sem fio tanto podem ser
utilizadas para verificar o nível de segurança como para gerar ataques a elas.
Netstumbler (http://www.netstumbler.com)
É a ferramenta de scanner mais conhecida para redes sem fio. Permite identificar
as seguintes informações:
 SSID da rede;
 Detectar redes que podem provocar interferência:
 Potência do sinal;
 GPS
HostAP
É um módulo kernel capaz de transformar um dispositivo de rede sem fio padrão
em um AP.
Utilizado no ataque de associação maliciosa;
Kismet (http://www.kismetwireless.net)
Sniffer opensource com grande número de ferramentas.
Pode armazenar pacotes capturados em vários formatos. Gera dados relacionados
à localização aproximada do dispositivo monitorado. Disponibiliza quase todas as
informações necessárias para um atacante.
FERRAMENTAS PARA REDES SEM FIO
Backtrack (KALI)
Voltada para testes de penetração é muito utilizada por auditores. Possui mais de
300 ferramentas atualmente.
MECANISMOS DE SEGURANÇA E PREVENÇÃO

Desabilitar acesso as configurações do AP via rede sem fio;
Desativa broadcast do SSID;
Configurar maior nível de criptografia disponível no AP;
Monitorar a rede com frequência em busca de possíveis falhas;
CONCLUSÃO
Redes sem fio se comunicam por meio não guiado e permitem que qualquer
dispositivo dentro do raio de propagação do sinal possa captura-lo, mesmo que não o
interprete.
Para que se possa fazer deste tipo de rede com certa tranquilidade, os mais
modernos e disponíveis recursos dos equipamentos devem ser utilizados.
SEGURANÇA EM SISTEMAS OPERACIONAIS

SO MAIS SEGURO? WINDOWS, LINUX OU MAC
Sites de segurança comparam os SO (Windows, Linux e Mac OS) quanto a
vulnerabilidades:
https://www.exacti.com.br/novidade/sistemas-operacionais-mais-vulneraveis-de-
2014
http://www.baboo.com.br/seguranca/os-x-ios-e-linux-sao-mais-vulneraveis-que-
o-windows/
http://pplware.sapo.pt/microsoft/windows/mac-os-x-e-o-ios-foram-os-sistemas-
mais-inseguros-em-2014/
Todos utilizando a mesma fonte:
http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-
2014/
CUSTOMIZAR DADOS PARA ANÁLISE

Fonte primária:
https://web.nvd.nist.gov/view/vuln/statistics
CUSTOMIZAR DADOS PARA ANÁLISE –SO WINDOWS

Raw Data
Year Qtd Total %
2006 3 6,608 0.05%
2007 19 6,514 0.29%
2008 48 5,632 0.85%
2009 63 5,732 1.10%
2010 180 4,639 3.88%
2011 198 4,150 4.77%
2012 147 5,288 2.78%
2013 115 5,186 2.22%
2014 154 7,937 1.94%
2015 461 6,488 7.11%
2016 50 1,006 4.97%
Search Parameters:
• Contains Software Flaws (CVE)
• CPE Vendor: cpe:/:microsoft
• CPE Product: cpe:/:microsoft:windows
• CVSS Version: 3
Raw Data
Year Qtd Total %
2006 90 6,608 1.36%
2007 108 6,514 1.66%
2008 88 5,632 1.56%
2009 117 5,732 2.04%
2010 171 4,639 3.69%
2011 152 4,150 3.66%
2012 221 5,288 4.18%
2013 277 5,186 5.34%
2014 233 7,937 2.94%
2015 430 6,488 6.63%
2016 24 1,006 2.39%
Search Parameters:
• CPE Vendor: cpe:/:linux
• CPE Product: cpe:/:linux:linux_kernel
• CVSS Version: 3
Raw Data
Year Qtd Total %
2006 0 6,608 0,00%
2007 5 6,514 0.08%
2008 0 5,632 0.00%
2009 1 5,732 0.02%
2010 19 4,639 0.41%
2011 0 4,150 0.00%
2012 4 5,288 0.08%
2013 1 5,186 0.02%
2014 1 7,937 0.01%
2015 3 6,488 0.05%

2015 0 1,006 0.00%
Search Parameters:
• CPE Vendor: cpe:/:apple
• CPE Product: cpe:/:cpe:/:apple:mac_os
• CVSS Version: 3
CUSTOMIZAR DADOS PARA ANÁLISE –SO WINDOWS

BOAS PRÁTICAS PARA PROTEGER SEU SO - IBM
A proteção de servidores e estações conforme a empresa IBM:
Link http://www-
01.ibm.com/support/knowledgecenter/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.
10.2.2.doc/c_securing_the_operating_system.html?lang=pt-br
CONTAS DO USUÁRIO
• Limitar a quantidade de contas de usuários nos servidores;
• Limitar a quantidade de usuários que possam administrar os servidores
• Limitar as permissões de acesso das contas que rodam os aplicativos
POLÍTICAS DE CONTA
• Implementar políticas de senha (composição e periodicidade);
• Testar, com ferramentas de ataque a força das senhas (automatizar);
SISTEMA DE ARQUIVOS
• Conceder somente as permissões estritamente necessárias;
• Definir restritivo o acesso ao FS, explicitando a quem será garantido;
SERVIÇOS DE REDE
• Somente execute os serviços estritamente necessários (serviços ponto de falha);
• Não execute os serviços como usuários privilegiados;
• Restringir acesso ao shell, somente usuários que necessitem;
• Serviços não utilizados não devem estar instalados ou possíveis de serem executados;
SERVIÇOS DE REDE (cont)

• Levantar os serviços em execução no SO, deixar os estritamente necessários(netstat);
• Proteger o sistema contra ameaças NetBIOS, portas 137, 138 e 139;
• Implementar uma ferramenta firewall no servidor;
• Não utilizar interfaces gráficas com o usuário (GUI) nos servidores;
CORREÇÕES DO SISTEMA
• Manter atualizada as correções recomendadas pelo fabricante ou pelo aplicativo;
• Testar a segurança do sistema após atualizações(PENTEST);
MINIMIZAÇÃO DE SISTEMA OPERACIONAL

• Remova aplicativos não essenciais;
• Restringir os serviços locais, somente serviços essenciais
• Implementar proteções para buffer overflow;
CRIAÇÃO DE LOG E MONITORAMENTO

• Registrar eventos:
o logons e logoffs com e sem êxito
o alteração de permissões de usuários
• Monitorar os arquivos de log do sistema.
• Utilizar servidor de logs (SYSLOG) e prover redundância;
• Restringir o acesso aos arquivos de log;
• Ativar log dos serviços, principalmente acessados pela web;

• Proteger o arquivo de configuração de criação de log;
INTEGRIDADE DO SISTEMA
• Realizar auditoria para verificar a integridade do SO;
• Realizar backup dos recursos do SO;
• Sistemas em produção devem possuir processos bem definidos e repetíveis;
BOAS PRÁTICAS PARA PROTEGER SEU SO - CIELO

A proteção de servidores e estações conforme a empresa CIELO:
Link https://www.cielo.com.br/wps/wcm/connect/0d8157b0-b9f9-4d01-9747-
0e71b9b779ce/boas_praticas_seguranca.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEI
D=0d8157b0-b9f9-4d01-9747-0e71b9b779ce
4.1. Não utilize softwares não confiáveis em seu ambiente.

4.2. Instale antivírus em todos os computadores (varredura automatizada)
4.3. Ative o firewall do sistema operacional.
4.4. Instale todas as atualizações de software fornecidas pelo fabricante de seu
sistema;
4.5. Desabilite qualquer funcionalidade ou serviço desnecessário para a função de
um servidor.
4.6. Renomeie as contas de administrador instaladas por padrão nos Sistemas
Operacionais. Use nomes específicos para o seu ambiente.
4.7. Atribua uma conta de acesso para cada funcionário ou prestador de serviços
com acesso ao ambient
4.8. Não permita o compartilhamento de contas de acesso ou o uso de contas de
acesso genéricas em seu ambiente.
4.9. Implemente uma política de controle de acessos lógicos concedendo aos
funcionários e prestadores de serviços somente o acesso necessário para a realização de
suas atividades.
4.10. Estabeleça um processo para a desativação dos logins dos funcionários
demitidos logo após o seu desligamento da empresa.
4.11. Estabeleça uma política de senhas da seguinte maneira:
• 4.11.1. Comprimento mínimo de 8 caracteres;
• 4.11.2. Período de expiração de no mínimo
• 4.11.3. Obrigatoriedade de que a senha seja composta de
• 4.11.4. Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma
das quatro senhas anteriores;
• 4.11.5. Bloquear a conta do usuário após cinco tentativas de acesso sem sucesso;
• 4.11.6. Manter o usuário bloqueado de acordo com a regra 4.11.5 por 30 minutos ou até
o desbloqueio do administrador.
4.12. Ative a funcionalidade de geração de logs em todos os computadores e

dispositivos de rede os configurando conforme as regras abaixo:
• 4.12.1. Configure os computadores e dispositivos de rede para gerar logs de todos os
eventos realizados a partir de usuários com privilégios administrativos.
• 4.12.2. Configure os computadores e dispositivos de rede para todos os eventos cuja

tentativa de acesso resultou em falha.
• 4.12.3. Configure os mecanismos de logs para gerar eventos contendo: data/hora do

evento; identificação do usuário; tipo de evento indicação de sucesso ou falha
• 4.12.4. Estabeleça mecanismos de arquivos de log do acesso não autorizado. Exemplo:

Somente a conta de administrador local que possui privilégios de escrita no arquivo de
log, todas as outras possuem somente acesso de leitura.
• 4.12.5. Configure o prazo de retenção dos arquivos de log para 30 dias, no mínimo.
• 4.12.6. Insira os arquivos de logs na rotina de backup dos servidores
4.13. Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros

drives) em todos os equipamentos nos quais este recurso não é necessário.
4.14. Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet
de maneira que os funcionários e prestadores se serviço somente possuam os acessos
necessários para a execução de seu trabalho.
4.15. Mantenha os equipamentos com informações confidenciais em local
protegido.
SEGURANÇA NA INFRAESTRUTURA DE TI
MOTIVAÇÃO
Adianta uma super politica de senhas para os ativos de rede ( roteador, firewal etc
), se o invasor possuir acesso físico? ( recuperação de senha etc )
Qual a diferença entre ransomware (sequestro de dados), da quebra física de um
storage? ( perca da informação )
Exemplos mil, CUIDEM da infraestrutura.
INTRODUÇÃO
Conceitualmente, a infraestrutura de TI é a parte da TI que dá suporte às
aplicações que fornecem sustentação aos processos de negócio. Por esse motivo, a
superioridade e a capacidade de inovação da organização dependem muito da
infraestrutura de TI adotada (HAMEL, 2008).
Os negócios de uma organização depende muito do bom funcionamento e
segurança da infraestrutura de TI.
ISO 27002:2005
Norma de segurança apresentada pelo Brasil e elaborada no Comitê Brasileiro de
Computadores e Processamento de Dados pela Comissão de Estudo em Segurança Física,
denominada por NBR ISO/IEC 27002, que tem conteúdo equivalente ao da norma ISO/IEC
17799.
A norma apresenta em sua estrutura 11 seções de controles de segurança da
informação. Dentro de cada seção existem categorias. Ao todo existem 39 categorias
principais de segurança e uma seção introdutória que aborda a análise e o tratamento de
riscos.
As seções são as seguintes:
 Política de Segurança da Informação
 Organizando a Segurança da Informação
 Gestão de Ativos
 Segurança em Recursos Humanos
 Segurança Física e do Ambiente
 Gestão das Operações e Comunicações
 Controle de Acesso
 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
 Gestão de Incidentes de Segurança de Informação
 Gestão da Continuidade do Negócio
 Conformidade
REQUISITOS DE SEGURANÇA DE INFORMAÇÃO

As principais fontes para a obtenção dos requisitos:
1 - Análise dos riscos para a organização, levando em conta objetivos e estratégias
globais de negócio da organização. Por esta fonte, as ameaças aos ativos e as
vulnerabilidades são identificadas. Uma avaliação da probabilidade da ocorrência das
ameaças e o impacto para o negócio é realizada.
2 - Legislação vigentes, estatutos, regulamentação e cláusulas contratuais que a
organização, seus parceiros comerciais e provedores de serviço têm que atender além do
seu ambiente sociocultural.
3 - Conjunto particular de princípios, objetivos e requisitos do negócio para o
processamento da informação que uma organização tem que desenvolver para auxiliar as
suas operações.
• PRINCIPAIS RISCOS – AMEAÇAS FÍSICAS
 Roubo;
 Interrupção de energia;
 Interrupção de comunicação;
 Fenômenos climáticos;
 Falha de equipamentos;
 Incêndio.
• PRINCIPAIS RISCOS – AMEAÇAS LÓGICAS
 Códigos maliciosos;
Vírus;
Backdoor;
Worms;
KeyLoggers;
Rootkits;
 Ataques;
Negação de serviço;
Spam;
Interceptação de pacotes (Man in the middle);
PRINCIPAIS RISCOS – AMEAÇAS EM RECURSOS HUMANOS

 Engenharia Social;
Baseado em persuasão ou confiança.
MEDIDAS DE SEGURANÇA LÓGICA

 Senhas;
 Backup;
 Criptografia;
 Antivírus;
 Firewall;
 Atualizações contra vulnerabilidades;

MEDIDAS DE SEGURANÇA EM RECURSOS HUMANOS
 Não fornecer dados pessoais por contato telefônico ou por e-mail;
 Não acessar sites recebidos por e-mail ou presente em páginas, sem certeza da
procedência;
REDUÇÃO DOS RISCOS NA INFRAESTRUTURA

A TI guarda relação direta com o risco. Cuidar desse risco tem importância
fundamental para a sobrevivência da organização. Por esse motivo, é essencial analisar o
risco de TI por meio de uma perspectiva ampla.
A gestão dos riscos de TI depende de três disciplinas essenciais:

• Alicerce de ativos de TI;
• Processo de governança de risco bem projetado e executado;
• Cultura de consciência de risco.
O alicerce de ativos de TI envolve tecnologias e aplicações bem estruturadas e
administradas, seguidas de controles robustos envolvendo os seguintes itens:
1 - Simplificação da infraestrutura de TI, que utilize o número necessário de
diferentes configurações tecnológicas;
2 - Base de aplicações bem integradas e na medida do possível simples;
3 - Estrutura de dados documentada e processos consistentes;
4 - Acesso controlado a dados e aplicações;
5 - Pessoal de apoio qualificado;
6 - Processos de manutenção que mantenham a tecnologia atualizada com
atualizações de patches feita de maneira organizada e controlada.
Modelos como o ITIL e COBIT abordam um complexo conjunto de elementos que
permitem o gerenciamento da infraestrutura de TI e seu alinhamento ao negócio para o
alcance da governança.
São elementos que compõem a infraestrutura:
• Instalações prediais;
• Sistemas de redes e telecomunicações;
• Computadores e equipamentos relacionados;

• Sistemas de armazenamento (storage);
• Software básicos e de aplicações;
Os riscos nas instalações prediais envolvem os seguinte fatores:

 Energia
 Climatização
 Acesso
Agora explicaremos cada um deles:

 Energia: Envolve proteções contra: choques elétricos, efeitos térmicos, sobrecorrente,
sobretensão, desligamento de emergência ou acidental.
 Climatização: Envolve garantia de condições adequadas de temperatura e umidade,

essenciais a sensibilidade dos equipamentos eletrônicos da infraestrutura de TI .
 Acesso: Envolve controle de acesso físico ao ambiente e deve ser provido por diferentes
mecanismos.
EXEMPLIFICANDO ALGUMAS MEDIDAS DE SEGURANÇA FÍSICA

 Biometria associada a uma senha
Como anteriormente abordado, controle de acesso físico ao ambiente deve ser

provido por diferentes mecanismos para garantir o acesso ao funcionário às áreas
restritas de TI.
 Geradores e No-Break
No-break é um equipamento constituído de baterias, alimentadas

constantemente. Controla a energia que chega da concessionária e quando ocorre
interrupção, passa a fornecer a energia armazena em suas baterias para os
equipamentos. Possibilitando o usuário salvar seus trabalhos e desligar o equipamento
sem problemas.
Geradores são equipamentos que convertem, geralmente, energia mecânica em
energia elétrica. Para alimentar equipamentos elétricos
Para implementação de tolerância a falhas de interrupção de energia, o ideal é o
trabalho conjunto desses dois equipamentos, através controle automatizado o no-break
assume o fornecimento assim que ocorrer a falha, em seguida o gerador é ligado, após
um determinado tempo de falta de energia o gerador assume o fornecimento. O caminho
inverso, retorno energia também ocorre da mesma forma.
o SEGURANÇA FÍSICA E DO AMBIENTE
 Seguras com prevenção de acesso físico NÃO autorização, danos e interferências com as
instalações;
 Segurança de equipamentos, que se atenta a impedir perdas, danos, roubo,

comprometimento de ativos.
o ÁREAS SEGURAS
 1. Perímetro de Segurança Física: utilização de perímetros de segurança para proteger as

áreas que contenham informações e instalações de processamento da informação.
 2. Controles de Entrada Física: assegurar o acesso somente às pessoas autorizadas através

de controles apropriados de entrada.
 3. Segurança em escritórios, salas e instalações: aplicar a segurança física também aos

outros locais da organização.
 4. Proteção contra ameaças externas e do meio ambiente: aplicar proteção física contra
incêndios, enchentes, terremotos, explosões, perturbações de ordem pública ou outras
formas de desastres naturais ou causados pelo homem.
 5. Trabalhando em áreas seguras: projeto e aplicação da proteção física, bem como

diretrizes para o trabalho em áreas seguras.
 6. Acesso do público, áreas de entrega e carregamento : locais em que pessoas não

autorizadas possam entrar na organização sejam controlados e, se possível, isolar das
instalações de processamento de informação a fim de evitar o acesso não autorizado.
o SEGURANÇA DE EQUIPAMENTOS
 1. Instalação e proteção do equipamento: Colocar o equipamento em local seguro a fim

de reduzir o risco de ameaças e perigos do meio ambiente. Adicionalmente, limitar ainda
mais o acesso não autorizado.
 2. Utilidades: Proteger equipamentos contra a falta de energia elétrica e outras
interrupções causadas por falta de utilidades.
 3. Segurança do cabeamento : Proteção de cabeamento de energia e telecomunicações

contra a interceptação ou danos.
 4. Manutenção dos equipamentos: Estabelecer uma manutenção correta dos

equipamentos a fim de garantir sua disponibilidade e integridade permanentes.
 5. Segurança de equipamentos fora das dependências da organização: Tomar medidas de

segurança para com os equipamentos que operem fora da organização levando em
considerações os diversos riscos que podem ocorrer.
 6. Reutilização e Alienação segura de equipamentos: Examinar equipamentos que

contenham mídia de armazenamento de dados antes do descarte com o intuito de
assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos
ou sobrepostos com segurança
 7. Remoção de propriedade: Equipamentos, informações ou software não sejam retirados

do local sem autorização prévia.
CONCLUSÃO
As organizações não devem achar que estão seguras pelo fato de terem feito uma
análise de segurança da informação no passado e esquecerem de realizar análises
futuras.
Devem lembrar também, que o controle de acesso as instalações físicas tem tanta
importância quanto os controles lógicos de acesso aos sistemas de informações
SEGURANÇA EM DISPOSITIVOS MÓVEIS

PARADIGMAS DA MOBILIDADE
Mobilidade
Convergência
Acesso Remoto
M-Serviços:
• M-Commerce
• M-Bank
• M-Serviços
• BYOD (Bring your own device)
POPULARIZAÇÃO DOS DISPOSITIVOS MÓVEIS

• Tablets;
• Smartphones
• Celulares
• etc
Realizam praticamente todas as tarefas dos computadores(PC)

• Navegação na Internet;
• Internet Banking
• E-mails
• Redes sociais
CARACTERÍSTICAS DOS DISPOSITIVOS MÓVEIS

Principais características:
• Conectividade: Wi-fi(802.11), 3G, 4G, 5G, bluetooth e IR
• Portabilidade: Tamanho e peso reduzidos, facilitando serem carregados no bolso ou nas

bolsas. Facilitando ser esquecido ou perdido.
• Funcionalidades integradas: Câmera, GPS, agenda, contatos, e-mail etc
• Capacidade de armazenamento: grande quantidade de dados pessoais e profissionais, na

memória interna e no slot de cartão.
RISCOS DOS DISPOSITIVOS MÓVEIS

• Possuem características que os tornam ainda mais atraentes para atacantes e pessoas
mal-intencionadas
• Vazamento de informações;
• A grande possibilidade de perda ou furto;
• Invasão de privacidade;
• Instalação de códigos maliciosos;
• Propagar códigos maliciosos.
LIMITAÇÕES DOS DISPOSITIVOS MÓVEIS

• Energia – duração da bateria;
• Rapidez na digitação – teclado muito pequeno;
• Poder de processamento
• Custo – rede, ligação etc
ANTIVÍRUS PARA DISPOSITIVOS MÓVEIS

• Eset Mobile Security;
• Avast Segurança GRÁTIS para Mobile;
• F-Secure Mobile Security;
• Karspersky Mobile Security;
• McAfee Mobile Security;
• Trend Micro Mobile Security
APPs PARA DISPOSITIVOS MÓVEIS

Com o desenvolvimento de aplicativos desenvolvidos por diferentes autores e
funcionalidades, aumenta a dificuldade de controle das mesmas.
Solução, instale os APPs somente de fontes oficiais:
• iPhone/iPad – Apple iTunes App Store;
• Android – Google Play;
• Windows Phone – Loja do Windows Phone.

DESCARTE DOS DISPOSITIVOS MÓVEIS
Os dados TEM que ser APAGADOS do dispositivo móvel, os dispositivos possuem a
função para restaurar as funções de fábrica:
• Wipe; • Reset;
• Reiniciar; • Redefinir.
Mesma funcionalidade para cada fabricante um nome diferente.
PERDA OU FURTO DE DISPOSITIVOS MÓVEIS

• Anote o International Mobile Equipment Identity – IMEI – é único para cada aparelho;
• Bloqueie chip, IMEI e cartão de crédito associado ao dispositivo;
• Configurar localização/rastreamento e bloqueio remoto;
• Deletar dados após um determinado número de tentativas de desbloqueio sem

sucesso.(CUIDADO c/CRIANÇAS)
TOP 10 MOBILE RISKS – LISTA FINAL 2014

• M1: Controle fraco do lado Servidor
• M2: Armazenamento de dados inseguro
• M3: Insuficiente proteção da Camada de Transporte
• M4: Vazamento de dados não intencional
• M5: Autorização e Autenticação pobres
• M6: Quebra da criptografia
• M7: Injeção do lado do cliente
• M8: Decisões de segurança através entradas não confiáveis
• M9: Manuseio impróprio da sessão
• M10: Falta de proteção aos binários
“BYOD ” - DISPOSITIVOS MÓVEIS

BYOD – Bring Your Own Device –
traga seu próprio dispositivo
• Mais produtividade Vs segurança corporativa
• Novas ameaças e vulnerabilidades, são desafios para os profissionais de TI;
• Como gerir Riscos e Segurança da Informação?
• Conformidade com a legislação trabalhista (24/7)
Precauções:
1. Acordo de confidencialidade e NÃO divulgação
2. Definir quem e o que pode ser acessado e a respectiva monitoração
3. Dar ciência e cobrar o de acordo dos colaboradores
4. Inspeção regular dos equipamentos
“BYPASSNADO” A TI - DISPOSITIVOS MÓVEIS

Shadow IT ou TI Invisível – é a aquisição de tecnologias de TI por departamentos,
funcionários ou executivos, com orçamento próprio sem APROVAÇÃO ou CIÊNCIA do
departamento de TI
iPhone/iPad – Apple iTunes App Store;
• Android – Google Play;
• Windows Phone – Loja do Windows Phone.
Sob diversas alegações:

• A não adequação dos serviços de TI, para o melhor desempenho da função;
• Uso de ferramentas não homologadas pela TI, mas de domínio do usuário (“acha a
melhor”);
• Expandir o armazenamento na nuvem, na realidade acessar da residência.

Segundo a McAfee mais de 80% dos funcionários admitem usar aplicações
Software as a Service (SaaS) em seus postos de trabalho sem APROVAÇÃO.
Link: http://www.mcafee.com/br/resources/misc/infographic-shadow-it.pdf
DEPENDÊNCIA E USO EXCESSIVO – DISP. MÓVEIS

O cert.br realiza uma abordagem muito interessante do DM:
• “Nomofobia” – no-mobile phobia, medo de ficar sem dispositivo móvel;
• FOMO – Fear Of Missing Out, medo de estar perdendo algo;
• Depressão - por usar excessivamente as redes sociais;
- por falta de uso das redes sociais.

O cert.br realiza uma abordagem muito interessante do DM(cont):
•   Problemas de socialização
•   Síndrome do toque fantasma
•   Jogos online
•   Diversas outras mudanças comportamentais

Apostila Gestao Seg Rede

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Gestao Seg Rede

Enviado por

Direitos autorais:

Formatos disponíveis

GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS

NATIONAL SECURITY TELECOMMUNICATIONS AND INFORMATION SYSTEMS

NATIONAL SECURITY TELECOMMUNICATIONS AND INFORMATION SYSTEMS

OBJETIVOS PRIMÁRIOS DA SEGURANÇA DE REDES:

EXPANSÃO DESSES OBJETIVOS PRIMÁRIOS:

Qualquer dispositivo de rede pode ser invadido ou infectado por meio:

EQUIPAMENTOS - SEGURANÇA DA INFORMAÇÃO

Equipamentos de rede alvo e os ataques potenciais:

PILHA TCP/IP - SEGURANÇA DA INFORMAÇÃO

Rede de Acesso( camadas física e enlace de dados)

Garantir a sobrevivência de negócios em que suas atividades são totalmente

Não deixe de assistir à reportagem do fantástico no link:

RANSOMWARE – SEQUESTRO DE DADOS

A reportagem retrata três casos:

RANSOMWARE – SEQUESTRO DE DADOS

PERDAS RELATADAS – IC3

GALERIA DO CRIME - FBI

DADOS – é a observação de outras informações dentro de um sistema

PROBLEMAS com os DADOS:

São ferramentas para utilização de computadores para automatizar e simplificar o

As CAATs praticamente incorporam os DADOS analíticos no processo de

Facilidade de Teste Integrado – a execução da aplicação com dados de teste e

TIPOS DE SOFTWARE DE AUDITORIA

AUDITORIA TRADICIONAL VS CAATS

VANTAGENS E DESVANTAGENS DO USO DAS CAATS

Gerenciamento de usuários/colaboradores e permissões

CONTROLE DE ACESSO – CA – 1ª GERAÇÃO

CONTROLE DE ACESSO – CA – 2ª GERAÇÃO

Smartcards – cartão plástico com chip

Dispositivos físicos para autenticação

CONTROLE DE ACESSO – CA – 3ª GERAÇÃO

Autenticação por biometria (características físicas):

Projeto detalhado das permissões de acesso de cada cargo ou função.

SISTEMA DE GERENCIAMENTO DE IDENTIDADE - SGI

SGI – PRINCIPAIS OPERAÇÕES

Autenticação- o sistema verifica se a identidade é legítima;

Autorização - o sistema concede privilégios a uma entidade, após sua

Auditoria - através de logs, o sistema registra as ações da entidade, que é

SGI – MODELO TRADICIONAL

SGI – MODELO CENTRALIZADO

Um IdP para vários provedores de serviços;

SGI – MODELO FEDERADO

• Um IdP para cada domínio

• Utilizados pelos sistemas:

SGI – MODELO CENTRADO NO USUÁRIO

• o usuário tem total controle de suas informações;

• utilizados pelos sistemas:

SGI – PRINCIPAIS FOCOS E MOTIVAÇÕES

SGI – APRESENTAÇÕES DE FERRAMENTAS

SEGURANÇA LÓGICA FIREWALL

BOA PRÁTICA - FIREWALL

CONFIGURAÇÃO MANUAL - FIREWALL

PACKET FILTERING (FILTRO DE PACOTES)

STATELESS PACKET FILTER

COMPARAÇÃO DOS TIPOS FIREWALL

PACKET FILTER – trata de 20 a 24 bytes

STATELESS – trata pouco mais de 24 bytes (FLAGs)

STATEFUL – trata no mínimo 40 bytes (H IP e H Transporte)

• Conhecido como firewall de aplicação, proxy de serviços ou simplesmente proxy;

APPLICATION PROXY - VANTAGENS

APPLICATION PROXY - DESVANTAGENS

DEEP PACKET INSPECTION - DPI

EXEMPLO NECESSIDADE DPI

LEVANTAMENTO DE CONTAS E-MAIL VÁLIDAS