Segurança da Informação

• Semestre letivo: 2018.2

• Professor: Fabio Henrique Silva
• Ementa: Introdução à segurança da informação; Conceitos da
segurança; Ameaças a segurança; Análise e gerenciamento de
risco; Mecanismos de segurança; Políticas de segurança e
Sistema de Gestão da Segurança da Informação

1
 Objetivo da disciplina

• O objetivo dessa disciplina é:

Conhecer os princípios da segurança da informação, através dos

conceitos relacionados à análise e gerenciamento de risco,
gestão da segurança da informação, políticas de segurança,
com base nas normas vigentes e nas principais tecnologias
existentes na área.

Conteúdo Programático
Unidade 1 - Princípios básicos da segurança da
informação
1.1 Conceitos básicos da segurança da informação
1.2 Propriedades da segurança da informação
1.3 Ciclo de vida da informação
1.4 Classificação dos tipos de ativos

2
 Conteúdo Programático
Unidade 2 - Vulnerabilidades, Ameaças e Ataques
2.1 Definições
2.2 Análise e gerenciamento de riscos
2.3 Tipos de ameaças
2.4 Exemplos de ameaças
2.5 Tipos de ataques

Conteúdo Programático
Unidade 3 – Mecanismos de Segurança
3.1 Segurança física
3.2 Segurança lógica
3.3 Tipos de criptografia (simétrica e assimétrica) e suas
características
3.4 Mecanismos de assinatura digital e funções de hashing
3.5 Certificados digitais: características e objetivos

3
 Conteúdo Programático
Unidade 4 - Políticas de segurança e SGSI
4.1 Conceitos básicos da política de segurança da informação
4.2 Objetivos e estrutura do SGSI
4.3 Objetivos das normas ABNT 27001 e 27002

Bibliografia
Livro-Texto:
• ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da
segurança da informação — Requisitos. ABNT - Associação Brasileira de Normas Técnicas, 2013.
• ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de prática para
controles de segurança da informação. ABNT - Associação Brasileira de Normas Técnicas, 2013
• STALLINGS, W. Criptografia e segurança de redes – Princípios e práticas. 4. ed. São Paulo: Pearson: Addison Wesley,
2007.

Bibliografia Complementar:
• KUROSE, J. F. e ROSS, K. W. Redes de computadores e a Internet - Uma abordagem top-down. 5 ed. São Paulo:
Pearson/Addison Wesley, 2010.
• NAKAMURA, E. T., GEUS, P. L. Segurança de Redes em Ambientes Cooperativos. Rio de Janeiro: Novatec, 2007.
• SÊMULA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. São Paulo: ST, 2013.
• LAUREANO, Marcos Aurélio Pchek. Segurança da Informação. Curitiba: Lt, 2012.
• Machado,Felipe Nery Rodrigues. Segurança da Informação - Princípios e Controle de Ameaças - Série Eixos. São
Paulo: Érica, 2014.

4
 Referências Adicionais
• Apresentações e materiais de “Segurança da Informação”, profs. Anderson Fernandes Pereira dos Santos,
Fernando Diniz Hammerli, Gustavo Neves Dias, Sergio dos Santos Cardoso
• http://www.dsm.fordham.edu/~mathai/crypto.html#Cryptography
• http://all.net/edu/curr/ip/Chap2-1.html
• https://www.hyperelliptic.org/tanja/teaching/cryptoI13/cryptodict.pdf
• http://book.itep.ru/depository/crypto/Cryptography_history.pdf
• http://ethw.org/Cryptography#Modern_cryptography
• SÊMOLA, M. Gestão da Segurança da Informação, Uma visão executiva. 7. ed. Rio de Janeiro: Elsevier, 2003.
• Demais referências encontram-se no rodapé do respectivo slide

UNIDADE 1:
PRINCÍPIOS BÁSICOS
DA SEGURANÇA DA
INFORMAÇÃO

5
 1.1 Conceitos básicos
da segurança da
informação

Qual é a motivação?

https://www.cert.br/stats/incidentes/, acessado em 10/08/2018

6
 CERT e notificações de incidentes
• O CERT.br é o Grupo de Resposta a Incidentes de Segurança
para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor
da Internet no Brasil
‒ É responsável por tratar incidentes de segurança em computadores
que envolvam redes conectadas à Internet brasileira

• O CERT.br mantém estatísticas sobre notificações de incidentes a

ele reportados
‒ Estas notificações são voluntárias e refletem os incidentes ocorridos
em redes que espontaneamente os notificaram ao CERT.br

http://www.cert.br/sobre/

2014
PSN e Xbox Live sofrem ataque ataque hacker e ficam
fora do ar durante o Natal

As plataformas de jogos on-line Playstation Network (PSN),

da Sony, e Xbox Live, da Microsoft, sofreram um ataque
hacker que as deixou fora do ar nessa quinta-feira (25).

O grupo hacker "Lizard Squad", que esteve por trás de outro

ataque à PSN no começo do mês, reivindicou os ataques
contra as duas empresas.
http://www1.folha.uol.com.br/tec/2014/12/1567357-psn-e-xbox-live-sofrem-ataque-hacker-e-ficam-fora-do-ar-durante-o-natal.shtml

7
 2016
Hackers criam ‘cartão mágico’ para saques ilimitados
Um cartão de crédito que, ao realizar
saques em caixas automáticos, retira o
dinheiro, mas mantém o balanço da conta
intacto. Pode ser um sonho para qualquer
pessoa, mas se tornou um pesadelo para
o sistema bancário.
Um grupo criminoso operando na Rússia,
apelidado como Metel, criou uma técnica
para hackear computadores específicos
dentro das redes dos bancos que são
capazes de restaurar o saldo de contas
após movimentações financeiras.
http://oglobo.globo.com/economia/tecnologia/hackers-criam-cartao-magico-para-saques-ilimitados-18636461

2017
Onda de ciberataques atinge órgãos e empresas em ao menos 74 países
Uma onda de ciberataques aparentemente
coordenados atingiu nesta sexta (12) computadores
de empresas e órgãos governamentais em pelo
menos 74 países, incluindo o Brasil. Os hackers
usaram ferramentas da NSA, a agência de
segurança nacional americana, e brechas de
proteção identificadas pelo governo dos EUA e
vazadas.
O software malicioso foi apelidado de
"WannaCrypt0r" e de "WannaCry" ("quer
criptografar" e "quer chorar", respectivamente, em
tradução livre) e tinha versões em vários idiomas,
inclusive português. Informações preliminares da
imprensa espanhola indicam que os ciberataques
têm origem na China.
http://www1.folha.uol.com.br/mundo/2017/05/1883408-mega-ciberataque-derruba-sistemas-de-comunicacao-ao-redor-do-mundo.shtml

8
 2017
Hackers criam vagas de emprego falsas e mais de 300 mil
pessoas correm risco Um golpe recente está divulgando páginas falsas
de vagas de emprego no Facebook, segundo
identificou o DFNDR Lab, laboratório de segurança
digital especializado no combate ao cibercrime.
Somente nos últimos trinta dias foram identificados
mais de 30 golpes.
Em um cenário com mais de 12 milhões de
pessoas desempregadas, os golpistas utilizam
essas armadilhas para levar o usuário a sites
maliciosos, além de o induzir a compartilhar o golpe
com amigos, fornecer seus dados pessoais e até
mesmo as credenciais de acesso ao Facebook. Até
o momento, mais de 300 mil pessoas curtiram ou
estão seguindo essas páginas falsas e
representam a parcela que correm risco de caírem
em algum dos golpes.

https://www.infomoney.com.br/minhas-financas/consumo/noticia/7115210/hackers-criam-vagas-emprego-falsas-mais-300-mil-pessoas-correm

2018
Novo ataque NetSpectre pode roubar segredos de CPU via conexões de rede
Os cientistas publicaram hoje um artigo detalhando um
novo ataque de CPU da classe Spectre que pode ser
realizado por meio de conexões de rede e não exige que
o invasor hospede o código em uma máquina específica.
Esse novo ataque - codinome NetSpectre - é uma grande
evolução para os ataques do Spectre, que até agora
exigiam que o atacante enganasse a vítima para baixar e
executar códigos maliciosos em sua máquina ou pelo
menos acessar um site que executa JavaScript malicioso
no navegador do usuário .
Mas com o NetSpectre, um invasor pode simplesmente
bombardear as portas de rede de um computador e obter
os mesmos resultados.

https://www.bleepingcomputer.com/news/security/new-netspectre-attack-can-steal-cpu-secrets-via-network-connections/

9
 Guerra Cibernética
• Cyberwarfare
“Actions by a nation-state to penetrate another nation's
computers or networks for the purposes of causing damage
or disruption.”
Richard A. Clarke, Cyber War (May 2010).

“Ações de uma nação-estado para penetrar em redes ou

computadores de outras nações com o objetivo de causar
danos ou interrupções.”

Alguns Ataques Cibernéticos

• EUA x Iraque (2003)

• Síria x Israel (2007)
• Estônia x Rússia (2007)
• Geórgia x Rússia (2008)
• EUA x Coreia do Norte (2009)
• Empresas x China (2010)
• Outros

10
Qual é a diferença entre Seguranca de Redes e
Segurança da Informação?

SEGURANÇA DA INFORMAÇÃO

Qual é a diferença entre Seguranca de Redes e

Segurança da Informação?

SEGURANÇA DA INFORMAÇÃO

11
Qual é a diferença entre Seguranca de Redes e
Segurança da Informação?

SEGURANÇA FÍSICA

SEGURANÇA DE REDES

SEGURANÇA EM RH

SEGURANÇA DA INFORMAÇÃO

Qual é a diferença entre Seguranca de Redes e

Segurança da Informação?

• Segurança da Informação
– Visão mais ampla, como foco
maior na garantia da segurança SEGURANÇA FÍSICA
do negócio da empresa
SEGURANÇA DE REDES

• Segurança em Redes
– Implementação dos controles de SEGURANÇA EM RH
segurança para garantir o nível
de segurança adequado para o
ambiente de rede SEGURANÇA DA INFORMAÇÃO

12
Qual é a diferença entre Seguranca de Redes e
Segurança da Informação?

• Segurança da Informação
– Visão mais ampla, como foco
maior na garantia da segurança
do negócio da empresa
SEGURANÇA DE REDES

• Segurança em Redes
– Implementação dos controles de
segurança para garantir o nível
de segurança adequado para o
ambiente de rede SEGURANÇA DA INFORMAÇÃO

1.2 Propriedades da
segurança da
informação

13
 Segurança da Informação
• A segurança da informação tem Manuseio
como objetivo preservar:
Conf. Int.
CONFIDENCIALIDADE INFORMAÇÂO

INTEGRIDADE Disp.

DISPONIBILIDADE
Transporte

SEGURANÇA DA INFORMAÇÃO

CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE

Introdução

“O sistema de gestão da segurança da informação

preserva a confidencialidade, integridade e
disponibilidade da informação por meio da aplicação de
um processo de gestão de riscos e fornece confiança
para as partes interessadas de que os riscos são
adequadamente gerenciados.”

ABNT NBR ISO/IEC 27001:2013

14
 Definições e Termos

CONFIDENCIALIDADE:

Propriedade de que a informação não

esteja disponível para pessoas, entidades
ou processos não autorizados.
• Uso de criptografia e senhas são exemplos de
recursos que visam à confidencialidade. Em geral são
recursos que escondem ou encobrem os usuários.

Definições e Termos

INTEGRIDADE:

Propriedade de proteger a exatidão e a

completeza de ativos.
• Recursos que permitem que se saiba se a
informação foi, ou não, alterada, como o Hash, são
necessários para que se ofereça essa garantia.

15
 Definições e Termos

DISPONIBILIDADE:

Propriedade de tornar acessível e utilizável

sob demanda, por fontes autorizadas.
• Recursos como geradores de energia,
computadores de “ reserva ” são importantes para
esse objetivo.

Exercício

Cite exemplos de ameaças à Confidencialidade, à

Integridade e à Disponibilidade.

16
 Ameaças à confidencialidade
• Exemplos de problemas são:
Acesso não autorizado
Vulnerabilidades do login/senha (p.ex. partilha de
senhas)
Intercepção não autorizada da informação em trânsito
(p.ex. sniffer)
Gestão não controlada da informação

http://im.med.up.pt/seguranca/

Ameaças à integridade
• Exemplos de problemas são:
Erros no software
Mau funcionamento de equipamento
Erros operacionais (p.ex. na introdução de dados)
Vírus que corrompem a informação

http://im.med.up.pt/seguranca/

17
 Ameaças à disponibilidade
• Exemplos de problemas são:
Falhas nos equipamentos ou serviços de rede (p.ex. ao nível do
hardware/software, falhas de energia, erros/bugs)
Erros no manuseio do sistema
Causas naturais (incêndios, inundações)
Recursos insuficientes para o correto funcionamento do
software
Quando ocorrem ataques propositados para impedir o
funcionamento normal do sistema (p.ex. Denial-of-Service,
Spam)
http://im.med.up.pt/seguranca/

Pilares da Segurança da Informação

• A literatura pode fazer referência aos pilares (ou

categorias de serviços, ou princípios básicos) da
segurança da informação

• Além da tríade CID, ainda existem: Autenticidade, Não

repúdio (Irretratabilidade), Confiabilidade,
Conformidade (Legalidade), Controle de Acesso

18
 Autenticidade

Autenticidade:

Propriedade de assegurar as veracidades do emissor e

do receptor de informações trocadas.

• Recursos como senhas, biometria, assinatura digital e certificação

digital são usados para esse fim.

Não repúdio

Não repúdio (Irretratabilidade):

Garantia de que o autor de uma informação não poderá

negar falsamente a autoria de tal informação.

• Autenticidade e Integridade juntas garantem o Não-Repúdio;

• Condição necessária à validade jurídica das informações digitais.
• Recursos como o uso de criptografia são usados para esse fim.

19
 Exemplo
• Em uma compra pela Internet, podemos perceber a
necessidade de todos os requisitos citados...

O valor e a descrição do produto a ser

adquirido precisam estar disponíveis no
dia e na hora que o cliente quiser efetuar
a compra.

Isso diz respeito à/ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

20
 O valor e a descrição do produto a ser
adquirido precisam estar disponíveis no
dia e na hora que o cliente quiser efetuar
a compra.

Isso diz respeito à/ao...

Disponibilidade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O valor da transação não pode ser

alterado.

Isso diz respeito à/ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

21
 O valor da transação não pode ser
alterado.

Isso diz respeito à/ao...

Integridade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O cliente que está comprando deve ser

realmente quem diz ser.

Isso diz respeito à/ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

22
 O cliente que está comprando deve ser
realmente quem diz ser.

Isso diz respeito à/ao...

Autenticidade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O cliente tem como provar o pagamento e

o comerciante não têm como negar o
recebimento.

Isso diz respeito à/ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

23
 O cliente tem como provar o pagamento e
o comerciante não têm como negar o
recebimento.

Isso diz respeito à/ao...

Não repúdio!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O conhecimento do conteúdo da
transação fica restrito aos envolvidos.

Isso diz respeito à/ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

24
 O conhecimento do conteúdo da
transação fica restrito aos envolvidos.

Isso diz respeito à/ao...

Confidencialidade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

Confiabilidade, Conformidade e
Controle de Acesso
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado.

Conformidade (Legalidade):
Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e
externos.

Controle de Acesso:
Limitar e controlar o acesso lógico/físico aos ativos de uma organização por
meio dos processos de identificação, autenticação e autorização, com o
objetivo de proteger os recursos contra acessos não autorizados.

25
 Resumo: Definições e Termos
• Confidencialidade:
– Propriedade de que a informação não esteja disponível para pessoas, entidades ou processos não autorizados
• Integridade:
– Propriedade de proteger a exatidão e a completeza de ativos
• Disponibilidade:
– Propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas
• Autenticidade:
– Propriedade de assegurar as veracidades do emissor e do receptor de informações trocadas
• Não repúdio (Irretratabilidade):
– Não Repúdio (Irretratabilidade): é a garantia de que o autor de uma informação não poderá negar falsamente a
autoria de tal informação
• Conformidade (Legalidade):
– Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e externos
• Confiabilidade:
– Garantir que um sistema vai se comportar segundo o esperado e projetado
• Controle de Acesso:
– Limitar e controlar o acesso lógico/físico aos ativos

1.3 Ciclo de vida da

informação

26
 Ciclo de vida da informação
• O ciclo de vida da informação é composto e
identificado pelos momentos vividos pela informação
que a colocam em risco
• São quatro os momentos do ciclo de vida que são
merecedores de atenção

Ciclo de vida da informação

• Manuseio: Momento em que a informação é criada e
manipulada
‒Seja ao folhear um maço de papéis, digitar informações em
um processador de texto, ou utilizar sua senha em um
sistema de acesso
• Armazenamento: Momento em que a informação é
armazenada
‒Seja em um banco de dados, em um pedaço de papel ou em
uma mídia de CD-ROM

27
 Ciclo de vida da informação
• Transporte: Momento em que a informação é
transportada
‒Seja por e-mail, fax ou ainda ao falar ao telefone
• Descarte: Momento em que a informação é descartada
‒Seja ao jogar na lixeira um material impresso, descartar um
CD-ROM por apresentar defeito ou qualquer outra mídia

Ciclo de vida da informação

Manuseio Transporte

Armazenameto Descarte

28
Ciclo de vida da informação

Manuseio Transporte

Armazenameto Descarte

MEDIDAS DE PROTEÇÃO

Ciclo de vida da informação

Manuseio Transporte

Armazenameto Descarte

MEDIDAS DE PROTEÇÃO

GARANTIR CID

29
 1.4 Classificação dos
tipos de ativos

Ativo

INFORMAÇÃO é um ATIVO

Segurança da Informação protege a Informação de um grande

número de ameaças, de forma a garantir a continuidade do
negócio, minimizar os danos e maximizar o retorno do
investimento e as oportunidades de negócio.

30
 Tipos de Ativos
• Ativo é qualquer coisa que tenha valor para a organização

• Exemplos de ativos:
‒ Ativos de informação: Base de dados e arquivos, contratos e acordos, etc.
‒ Ativos de software: Aplicativos, sistemas, etc.
‒ Ativos físicos: Equipamentos computacionais, de comunicação, etc.
‒ Serviços: Eletricidade, refrigeração, etc.
‒ Pessoas e suas qualificações, habilidades e experiências
‒ Intangíveis (em que não se pode tocar), tais como a reputação e a imagem
da organização

31