Escolar Documentos
Profissional Documentos
Cultura Documentos
de Computadores
Agora é tarde ...
Bem vindos à fabrica de paranóias
Isso não vai dar certo !...
Por que os
atuais
sistemas de
tratamento
da
informação
são
inseguros?
Respostas:
0 Modelo humano!!!
0modelo de Von Newmann;
0ainda fazemos assim ! ...
0evolução e disponibilidade
de
recursos computacionais;
0somos capazes de quebrar
paradigmas?
0poderíamos fazer diferente?
Ingenuidade e prepotência
0 Estados da informação:
0 armazenada;
0 em transmissão.
... e de quem !!!
0Assegura que a
informação será
acessível somente a
quem de direito e na
forma de direito,
incluindo aqui o acesso à
informação do fato de
que a informação existe.
Autenticidade:
0Assegura que a
informação é realmente
da fonte que declara ser.
Integridade:
0Quando falamos em
mecanismos, nos
referimos aos recursos
disponíveis e que podem
ser utilizados para
oferecer os serviços
descritos anteriormente.
Tipos de Mecanismos:
z Preventivos;
z De supervisão;
z De recuperação.
Mecanismos preventivos:
0 Planejamento ambiental
0Controle de acesso;
0Acessibilidade;
0Climatização;
0instalações elétricas;
0Cofres;
0alarmes, ...
Mecanismos preventivos:
0 Proteção física da
informação
0dispositivos de
armazenamento;
0Controle de acesso físico
ao sistema cabeado.
Mecanismos preventivos:
0Proteção lógica da
informação
0Criptografia;
0Firewall;
0VPN;
0Proxy;
0 ...
Mecanismos preventivos:
0Capacitação de recursos
humanos
0qualificação e
requalificação do grupo de:
0 desenvolvimento;
0Manutenção;
0Suporte;
0 qualificação dos usuários;
0 suporte aos usuários, ...
Mecanismos de supervisão:
0 Avaliaçãoconstante do estado do
sistema com a utilização de
ferramentas de monitoração
0Scanners;
0sistemas de gerência de redes;
0verificações periódicas das condições
ambientais;
0análise de relatórios dos sistemas (logs);
0tudo que foge à normalidade deve ser
investigado.
(busque sempre por anormalidades!)
Mecanismos de recuperação:
0Plano de contingência;
0Backup;
0Site espelho;
0Vou ter que digitar tudo
novamente?
0Meus correntistas não vão
gotar ...
(e agora?)
Bem, mas voltando à nossa pergunta ...
0pare de me
enrolar e diga
logo por onde
eu começo !
Más notícias:
0Segurança física:
0Diria que esta é a mais
simples de todas porque
envolve apenas e pouca
interação com os usuários
recursos financeiros (um
bom contrato de trabalho
resolve todos os problemas
de rebeldia!)
Grau de dificuldade: (3)
0Segurança tecnológica:
0Neste quesito estão
envolvidos: recursos
financeiros, analistas,
programadores, pessoal de
suporte, de manutenção,
enfim o pessoal que está
diretamente ligado ao
tratamento da informação
Grau de dificuldade: (5)
0USUÁRIOS:
0Neste quesito estão envolvidos:
usuários mal treinados, usuários
insatisfeitos, usuários
demissionários, usuários mal
intencionados, pseudo-usuários,
usuários ...
0Manutenção da motivação e
consciência acerca da segurança
Fazer o que, né?
0Mas sem os
usuários o nosso
trabalho não teria
o menor sentido!
Motivações para um ataque:
0Prazer;
0Auto-afirmação;
0ganho não autorizado à
informação;
0negar responsabilidade por uma
informação que o fraudador tenha
realmente gerado;
0alegar ter recebido uma informação
de outra fonte sendo que ele mesmo
tenha gerado a informação;
0personificação de outra pessoa para
fugir de algum tipo de
responsabilidade ou também para
fazer uso das prerrogativas da vítima
tais como: criar informações de
modo fraudulento, modificar a
legitimidade de uma informação,
ganhar algum tipo de acesso não
autorizado, autorizar transações
fraudulentas ou endossar tais
transações;
0ampliar direitos de acesso/uso de
licenças;
0modificar direitos de acesso/uso de
outros;
0alegar ter enviado uma informação
a outro usuário mas que na
realidade não o tenha feito;
0Usar sua banda;
0Usar seus recursos de
armazenamento;
0Vingança;
0aprender quando e quais acessos
são feitos a uma determinada
informação, mesmo que esta
informação não seja legível;
0fraudar uma transação de modo
que ela seja entendida como uma
falha do sistema;
0alterar um software, normalmente
pela inserção de um código
malicioso;
0...
Classificação dos ataques:
0Passivos:
0São caracterizados pelo
acesso à informação para
conhecimento e/ou análise,
algo típico de
monitoramento de uma rede
(sniffing);
Classificação dos ataques:
0Ativos:
0Este tipo de ataque envolve
algum tipo de modificação da
informação ou a criação de uma
informação falsa e pode ser
subdivido em quatro categorias:
Classificação dos ataques:
0Mascaramento (falsidade
ideológica);
0Reutilização de uma informação
(retransmissão de um quadro ou
uma mensagem);
0Modificação da informação;
0Recusa de serviço (DoS);
Ciclo de vida de sistemas seguros:
0Passo 1 – planejamento
da segurança da
informação (análise de
riscos e da relação
custo/benefício);
0Passo 2 – projeto,
instalação e configuração
dos sistemas de proteção;
Ciclo de vida de sistemas seguros:
0Passo 3- Operação de
gerência dos sistemas
seguros:
0hardware/software,
0sistemas operacionais,
0banco de dados,
0aplicações,
0redes de comunicação
0...
Ciclo de vida de sistemas seguros:
0Passo 4 – Auditoria da
segurança da informação.
Volte ao passo 1!
Conclusões:
Conclusões:
Segurança física:
0 Instalações prediais
0Localização estratégica;
0Controle de acesso;
0Acessibilidade/layout;
0Climatização;
0Iluminação;
0Resistência à intempéries.
Instalações elétricas
0 Rede de alimentação
0 Proteção contra descargas
atmosféricas
0 Estabilização
0 Sistema de fornecimento
ininterrupto de energia
(No-Breack)
0 Aterramento
Controle de acesso:
0 Sistema de identificação
0A identificação de usuários é feita
com base em um ou mais dos
seguintes aspectos:
0O que somos: baseado na identificação
biométrica:
0digitais;
0mapa facial;
0exame de retina;
0voz;
0 ...
(este assunto será detalhado adiante)
Controle de acesso:
0O que portamos: chaves, carteiras de
identificação, cartões magnéticos,
circuitos micro-processados externos ou
internos ao nosso corpo, ...
0 O que sabemos: senhas, dados pessoais,
parte de uma informação, ...