Pe n sa ndo e m

Vu ln e r a bilida de s,
Am e a ça s e Riscos
Obj et ivos

Avaliar am eaças e riscos à segurança

de redes.

Após concluir est e capít ulo, você

est ará preparado para execut ar as
seguint es t arefas:
Tarefas

I dent ificar as necessidades de

segurança de rede.
I dent ificar algum as das causas dos
problem as de segurança de rede.
I dent ificar caract eríst icas e fat ores
m ot ivadores de invasão de rede.
Tarefas

I dent ificar as am eaças m ais

significat ivas na segurança de rede.

Conceit uar vulnerabilidade, am eaça,

risco e gerenciam ent o de risco.
Por que segurança ... ?

Porque para garant ir a segurança nos

negócios é preciso at ualizar
const ant em ent e as defesas para
reduzir a vulnerabilidade às am eaças
inovadoras dos invasores.
Desafios

Se gu r a n ça é difícil de ser
im plem ent ada uniform em ent e em
t oda a em presa.

Escolha de um a alt ernat iva ou

com binação adequada de diversas
opções de soluções.
Desafios

Escolher ent re várias opções

diferent es e disponíveis e adot ar
aquelas que sat isfaçam os requisit os
exclusivos da rede e dos negócios.
Desafios

Os produt os diferent es devem ser

int egrados em t oda a em presa a fim
de se at ingir um a única polít ica de
segurança est ável.
Porque t em os problem as de
segurança

Fragilidade da Tecnologia

Fragilidade de Configuração

Fragilidade da Polít ica de Segurança

Fragilidade da Tecnologia

TCP/ I P

Sist em a Operacional

Equipam ent os de Rede

Fragilidade de Configuração

São problem as causados pelo fat o de

n ã o se con figu r a r e qu ipa m e n t os
in t e r liga dos para im pedir problem as
de segurança conhecidos ou
prováveis.
Fragilidade de Configuração

Considerações default inseguras nos

produt os.
Equipam ent o de rede configurado
equivocadam ent e.
Cont as de usuários inseguras.
Cont as de sist em as com senhas
previsíveis.
Fragilidade do Equipam ent o de
Rede

Prot eção de senha insegura

Falhas de aut ent icação

Prot ocolos de Rot eam ent o

Brechas no Firewall
Fragilidades da Polít ica de
Segurança

Falt a de um a polít ica escrit a.

Polít icas int ernas
Falt a de cont inuidade dos negócios
Cont roles de acesso para equipam ent os de
rede não são aplicados.
A adm inist ração de segurança é negligent e,
inclusive a m onit oração e a audit oria.
Fragilidades da Polít ica de
Segurança

Falt a de conhecim ent o sobre at aques.

Alt erações e inst alação de soft ware e

hardware não seguem a polít ica.

Falt a de Planej am ent o de

Cont ingência.
Conheça seus invasores

Scr ipt Kiddie

Não possuem m uit a habilidade.
Mas t eve a sort e de encont rar um
sist em a rem ot o que não aplicou o
pat ch de correção a t em po.
Script Kiddie

São bons na razão inversam ent e

proporcional à negligência de
adm inist radores/ usuários que não
acom panham list as de segurança e dem ais
páginas de fornecedores ou CERT
( Com put er Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusão vinculada a
um a falha conhecida.

Não buscam inform ações e/ ou m áquinas

específicas. Ou sej a, ganhar acesso de
root .

Bast a t er acesso para desconfigurar hom e

pages de form a m ais fácil possível.
Script Kiddie

Sua t écnica consist e em ficar

revirando a I nt ernet at rás de
m áquinas vulneráveis e fazer
explorações com exploit s,
ferram ent as que perm it am explorar
as falhas em serviços.
Script Kiddie

Podem desenvolver suas próprias

ferram ent as.

Exist em os que não conhecem

nenhum a t écnica, e t udo o que
sabem é execut ar as ferram ent as
fornecidas por out ro script kiddie.
Cracker

Um invasor de bons conhecim ent os

t écnicos e assim sendo, ele será capaz de
apagar seus rast ros de m aneira m ais sut il.

Se caract eriza pelo alt o nível t écnico, na

m edida em que cada passo da invasão é
realm ent e est udado e bem pensado.
Cracker

Busca dados com o configurações padrões ou

senhas padrões que ele possa explorar.

Tem capacidade para desenvolve seus próprios

exploit s. São geniais e criat ivos para a m á
int enção.

Realiza at aques int eligent es para

com prom et er a segurança da rede.
Cracker

Suas at it udes furt ivas poderão

enganar at é aos m ais experient es
adm inist radores.

São os verdadeiros invasores

( int rusos) ou at é m esm o crim inosos
cibernét icos.
Hacker

Um program ador apaixonado.

Const roem e t ornam o m undo m elhor.

Exem plos:
St allm an, Linus Torvalds, Ada Lovelace,
Douglas Engelbart , Dennis Rit chie, Ken
Thom pson, Arnaldo Melo, Marcelo Tossat i, Alan
Cox, ... ...

Não são fút eis desconfiguradores de páginas.

Hacker

( Hacking ou Hacking Ét ico)

Program ador ou adm inist rador que se

reserva a quest ionar os problem as de
segurança nas t ecnologias disponíveis e as
form as de provar o conceit o do que é
discut ido.
Hacker Ét ico

Um a pessoa que invest iga a int egridade e a

segurança de um a rede ou sist em a
operacional.

Usa o conhecim ent o avançado sobre SW e

HW para ent rar no sist em a at ravés de
form as inovadoras.
Hacker Ét ico

Com part ilha seu conhecim ent o

grat uit am ent e at ravés da I nt ernet .

Não usa de m ás int enções. Tent a

oferecer um serviço à com unidade
int eressada.
Conceit o de I nvasor

Script Kiddie

Cracker

Hacker

Phracker ( pessoas que fazem acesso não

aut orizado a r e cu r sos de
t e le com u n ica çõe s)
Caract eríst icas de um I nvasor

Sabem codificar em várias linguagens

de program ação.
Conhecim ent os aprofundados sobre
ferram ent as, serviços e prot ocolos.
Grande experiência com I nt ernet .
Conhecem int im am ent e pelo m enos
dois Sos.
Caract eríst icas de um I nvasor

Têm um t ipo de t rabalho que usa redes.

Usam equipam ent os com o se fossem m odo
de vida.

Colecionam SW e HW.

Têm vários com put adores para t rabalhar.

Mot ivos para am eaças

Exploração de em oções ( Not oriedade,

Diversão) .

Concorrência de m ercado

I nim igos polít icos

Ladrões ( at ividades furt ivas)

Espiões ( Espionagem indust rial)

Mot ivos para am eaças

Funcionários host is:

em pregados ou ant igos em pregados,
vingança, at aque de Troca de Senhas
ou Sessões Abert as)

I nvest igação legal.

Vulnerabilidades
Ausência de prot eção cobrindo um a
ou m ais am eaças.

Fraquezas no sist em a de prot eção.

Vu ln e r a bilida de s sã o
cla r a m e n t e a ssocia da s com
a m e a ça s.
Exem plos

A a m e a ça a a ce sso n ã o a u t or iza do
est á ligada a con t r ole s de a ce sso
in a de qu a dos.

A a m e a ça de pe r da de da dos
cr ít icos e apoio ao processam ent o se
deve ao pla n e j a m e n t o de
con t ingê n cia in e fica z.
Exem plo

A a m e a ça de in cê n dio est á
associada a vulnerabilidade da
pr e ve n çã o con t r a in cê n dio
in a de qu a da .
Bens

Be n s Ta n gíve is
Aqueles que são paupáveis: HW, SW,
suprim ent os, docum ent ações, ...

Be n s I n t a n gíve is
Pessoa, reput ação, m ot ivação, m oral,
boa vont ade, oport unidade, ...
Bens

Os bens m ais im port ant es são as

in for m a çõe s.

I n for m a çõe s ficam em algum lugar

ent re os bens t angíveis e os
int angíveis.
I nform ações Sensíveis

I n for m a çõe s, que se pe r dida s, m al

usadas, acessadas por pessoas n ã o
a u t or iza da s, ou m odifica da s,
podem prej udicar um a organização,
quant o ao funcionam ent o de um
negócio ou a privacidade de pessoas.
O que é um a a m e a ça ?
Um a a m e a ça é algum fat o qu e pode
ocor r e r e a ca r r e t a r a lgu m pe r igo
a um bem .

Tal fat o, se ocorrer, será causador de

perda.

É a t e n t a t iva de u m a t a qu e .
Agent e de um a am eaça

É um a ent idade que pode iniciar a

ocorrência de um a am eaça.

Ent idade: um a pessoa:

invasor / int ruso
Am eaças Não- I nt encionais

Erros hum anos,

Falhas em equipam ent os,

Desast res nat urais,

Problem as em com unicações.

Am eaças I nt encionais

Furt o de inform ação,

Vandalism o,

Ut ilização de recursos, violando as

m edidas de segurança.
I m pact o
Result ados indesej ados da ocorrência
de um a am eaça cont ra um bem , que
result a em perda m ensurável para
um a organização.

Quase t odo r isco t em um im pact o,

em bora de difícil previsão.
Risco

É um a m edida da pr oba bilida de da

ocor r ê n cia de u m a a m e a ça .

É a probabilidade do event o causador de

perda ocorrer.

Oficialm ent e, u m r isco cor r e spon de a o

gr a u de pe r da .
Am eaças, Riscos, Severidade
Am eaças variam em severidade.

Se ve r ida de : grau de dano que a

ocorrência de um a am eaça pode
causar.

Riscos variam em probabilidade.

Tipos de Am eaças à Segurança

Acesso não- aut orizado

Reconhecim ent o

Recusa de Serviço

Manipulação de Dados
Acesso Não- Aut orizado

Obj et ivo: obt er acesso com o

adm inist rador num com put ador
rem ot o.

Cont rolar o com put ador de dest ino

e/ ou acessar out ros int erligados.
Form as de Acesso Não-
Aut orizado

Acesso inicial
Com base em senhas
Privilegiado
Acesso secundário
Perm issão de acesso rem ot o
Vulnerabilidades de program a
Arquivos não aut orizados
Reconhecim ent o

Monit oram ent o de vulnerabilidades,

serviços, sist em as ou t ráfego de rede,
no sent ido de levant ar inform ações
visando um at aque fut uro.
Form as de Reconhecim ent o

Varreduras de port a

I nvest igação:
- observação passiva do t ráfego de rede
com um ut ilit ário, visando padrões de
t ráfego ou capt urar pacot es para análise e
furt o de inform ação.
- Snooping de rede ( sniffing de pacot es)
Recusa de Serviço

Denial of Service ( DoS)

Tent at iva de desat ivar ou corrom per

serviços, sist em as ou redes, no
sent ido de im pedir o funcionam ent o
norm al.
Form as de Recusa de Serviço

Sobrecarga de recurso

Dist ribut ed Denial of Service

Bom bas de em ail

Manipulação de Dados

Capt ura, alt eração e repet ição de

dados at ravés de um canal de
com unicação.
Falsificação de I P
Repet ição de sessão
Repúdio
Falsificação de I P
Ocorre quando um invasor da fora de
um a rede, finge ser um com put ador
confiável dent ro da rede.

O I P usado est á dent ro do int ervalo

da rede invadida, ou é usado um I P
ext erno aut orizado, confiável, e para
o qual é disponibilizado acesso a
recursos na rede.
Falsificação de I P
Ocorre at ravés da m anipulação de
pacot es I P.

Um endereço I P de origem de um
com put ador confiável, é falsificado
para assum ir ident idade de um a
m áquina válida, para obt er privilégios
de acesso no com put ador invadido.
Segurança da I nform ação

Som ent e pe ssoa s de vida m e n t e

a u t or iza da s devem est ar habilit adas
a le r , cr ia r , a pa ga r ou m odifica r
inform ações.

Con t r ola r o a ce sso às inform ações.

Cont role de acesso: quat ro
requisit os

( 1) Mant er confidenciais inform ações

pessoais sensíveis ( pr iva cida de ) .

( 2) Mant er int e gr ida de e precisão

das inform ações e dos program as que
a gerenciam .
Cont role de acesso: quat ro
requisit os

( 3) Garant ir que os sist em as, inform ações e

serviços est ej am disponíveis ( acessíveis)
para aqueles que devem t er acesso.

( 4) Garant ir que t odos os aspect os da

operação de um SI est ej am de acordo com
as leis, regulam ent os, licenças, cont rat os e
princípios ét icos est abelecidos.
Sobre requisit os

I m pedir acesso a alguns usuários

( requisit o 1) e aut orizar fácil acesso a
out ros ( requisit o 3) requer filt r a ge m
m uit o bem feit a.

Filt r a ge m , corresponde a int rodução

de con t r ole s de se gu r a n ça que
visem a reduzir riscos.
Confidencialidade
I nt egridade
Acessibilidade
Leis / Ét ica
Am eaças
Cavalos de Tróia
Vírus
Worm s
Vazam ent o de I nform ações
Elevação de Privilégios
Pirat aria
Falhas de Hardware
Fraude
Am eaças

Falsificação
Backdoor
Desfalque
I ncêndios ou Desast res Nat urais
Am eaças

Erros de Program adores

Sniffers
Ent rada I nesperada
Furt o de inform ação
Cavalo de Tróia
Program a que se apresent a
execut ando um a t arefa e na realidade
faz out ra.
Am eaça à: C, I , A.
Prevenção: m uit o difícil.
Det ecção: pode ser m uit o difícil.
Severidade: pot encialm ent e m uit o
elevada.
Vírus
É um program a que infect a out ros
program as por m odificá- los. A
m odificação inclui um a cópia do vírus,
o qual pode ent ão infect ar out ros.
Am eaça à: I , A
Prevenção: pode ser difícil.
Det ecção: norm alm ent e im ediat a.
Severidade: pode ser baixa ou
pot encialm ent e m uit o elevada.
Worm s
É um program a usa conexões de rede para
se espalhar de sist em a a sist em a.

Um a vez at ivo, um worm pode com port ar- se

com o a vírus, pode im plant ar program as
cavalos de t róia ou realizar qualquer ação
dest rut iva.

Um worm se replica usando facilidade de

em ail, capacidade de execução rem ot a e
capacidade de login rem ot o.
Worm s

Am eaça à: I nt egridade,
Acessibilidade.
Prevenção: pode ser difícil.
Det ecção: norm alm ent e im ediat a,
at ravés de ant ivírus.
Severidade: pode ser baixa ou
pot encialm ent e m uit o elevada.
Pirat aria de Soft ware
Cópia ilegal de soft ware e
docum ent ação e re- em balagem para
com ercialização.
Am eaça à: Leis / Ét ica
Prevenção: m uit o difícil.
Det ecção: Pode ser difícil.
Frequência: ext rem am ent e com um .
Severidade: Pot encialm ent e m uit o
elevada.
Erros de Program adores
Erros nat urais de program ação ao
codificar, provocando bugs em
proporções alarm ant es.
Am eaças à: C, I , A
Prevenção im possível.
Det ecção: às vezes difícil
Frequência: com um .
Severidade: pot encialm ent e m uit o
elevada.
Sniffers
Program as que podem ler qualquer
aspect o de t ráfego em um a rede,
com o por exem plo, capt urando
senhas, em ails e arquivos.
Am eaça à: Confidencialidade.
Prevenção: im possível.
Det ecção: possivelm ent e det ect ados.
Severidade: pot encialm ent e m uit o
elevada.
Desfalque
Norm alm ent e se refere a furt o de
dinheiro.
Am eaça à: int egridade e recursos.
Prevenção: difícil.
Det ecção: pode ser difícil.
Frequência: desconhecida.
Severidade: pot encialm ent e m uit o
elevada.
Fraude
Qualquer exploração de um sist em a
de inform ação t ent ando enganar um a
organização ou t om ar seus recursos.
Am eaça à: I nt egridade.
Prevenção: difícil.
Det ecção: difícil.
Frequência: desconhecida.
Severidade: pot encialm ent e m uit o
elevada.
Falsificação
Criação ilegal de docum ent os ou
regist ros, int encionalm ent e produzidos
com o reais.
Am eaça à: I e out ros recursos.
Prevenção: pode ser difícil.
Det ecção: pode ser difícil.
Frequência: desconhecida.
Severidade: pot encialm ent e m uit o
elevada.
Backdoor
Um program a que é colocado num a
m áquina, com o se fosse um serviço
associado a um a port a, m as que t em
a incum bência de fazer um a int rusão.
Am eaça à: C. I , A.
Prevenção: m uit o difícil.
Det ecção: possivelm ent e det ect ável.
Severidade: pot encialm ent e m uit o
elevada.
Cont roles e Prot eções

Con t r ole s são procedim ent os ou m edidas

que reduzem a probabilidade associada aos
riscos.

Pr ot e çõe s são cont roles físicos,

m ecanism os, ou polít icas, que prot egem os
bens de am eaças.

Ex e m plos de pr ot e çã o: alarm es, senhas,

cont roles de acesso.
Cust os das Medidas
Os gast os com segurança devem ser
j ust ificados com o qualquer out ro.

A chave para selecionar m edidas de

seguranças adequadas é a habilidade
de est im ar a redução em perdas
depois da im plem ent ação de cert as
prot eções.
Cust o- Benefício
Um a análise de cust o- benefício
perm it e j ust ificar cada prot eção
propost a.

O cust o das m edidas de segurança

deve ser sem pre inferior ao valor das
perdas evit adas.
Exposições

Ex posiçõe s são áreas da rede com

probabilidade de “qu e br a ” m aior que
out ras.
Especialist a em Segurança
Apresent ar con t r ole s pa r a
m odifica r a s e x posiçõe s, de m odo
que t odos os event os de det erm inada
severidade t enham a m esm a
probabilidade.

M inim iza r o cu st o de con t r ole s, ao

m esm o t em po, m a x im iza n do a
r e du çã o de e x posiçõe s.
Gerenciam ent o de Riscos

Espect ro de at ividades, incluindo os

cont roles, procedim ent os físicos,
t écnicos e adm inist rat ivos, que levam
a soluções de segurança de baixo
cust o.
Gerenciam ent o de Riscos

Procura obt er as prot eções m ais

efet ivas cont ra am eaças int encionais
( deliberadas) ou não int encionais
( acident ais) cont ra um sist em a
com put acional.
Gerenciam ent o de Riscos
Tem quat ro part es fundam ent ais.

An á lise de Risco ( det erm inação de

risco)
Se le çã o de Pr ot e çã o
Ce r t ifica çã o e Cr e de n cia m e n t o
Pla n o de Con t in gê n cia
Análise Risco

Pedra fundam ent al da gerência de

riscos.

Procedim ent os para est im ar a

probabilidade de am eaças e perdas
que podem ocorrer devido a
vulnerabilidade do sist em a.
Análise de Risco

O propósit o é aj udar a det ect ar

prot eções de baixo cust o e prover o
nível de prot eção necessário.
Seleção de Prot eção
Os gerent es devem selecionar
prot eções que dim inuem cert as
am eaças.

Devem det erm inar um nível de risco

t olerável e im plem ent ar prot eções de
baixo cust o para reduzir perdas em
nível aceit ável.
Seleção de Prot eção
As prot eções podem at uar de diversos
m odos:
- Reduzir a possibilidade de ocorrência
de am eaças.
- Reduzir o im pact o das ocorrências das
am eaças.
- Facilit ar a recuperação das
ocorrências das am eaças.
Seleção de Prot eção

A gerência deve focalizar áreas que

t êm grande pot encial para perdas.

As prot eções devem t er boa relação

cust o- benefício, ist o é, t razer m ais
ret orno que os gast os com
im plem ent ação e m anut enção.
Cert ificação

Podem ser im port ant es elem ent os da

gerência de risco.

Cert ificação é ve r ifica çã o t é cnica de

que as prot eções e cont roles
selecionados são adequados e
funcionam corret am ent e.
Credenciam ent o

Cr e de n cia m e n t o é a aut orização

oficial para operação, correções de
segurança ou suspensão de cert as
at ividades.
Plano de Cont ingência

Event os indesej ados acont ecem ,

independent e da eficiência do program a de
segurança.

Perm it e um a respost a cont rolada que

m inim iza danos e recupera operações o
m ais rápido possível.
Plano de Cont ingência

É um docum ent o ou conj unt o de

docum ent os que perm it em ações
ant es, durant e, e depois da
ocorrência de event o não desej ado
( desast re) que int errom pe operações
da rede.
Avaliando am eaças
Exem plos ( m at erial escrit o,
dist ribuído em aula)

Caract erizando am eaças.

Exam inar as am eaças possíveis à

um a rede.