Escolar Documentos
Profissional Documentos
Cultura Documentos
DA
INFORMAÇÃO
Passado X Presente X Futuro
De onde viemos?
Lá tem Internet?
SEGURANÇA da INFORMAÇÃO
Princípios
INTEGRIDADE
DISPONIBILIDADE
CONFIDENCIALIDADE
Cenário Atual
Novas Tendências
Benefícios
Reduzir os riscos
Aumentar a produtividade
Viabilizar aplicações
INTERNET (mau uso)
Vazamento de Dados
Vazamento de Informações
Vazamento de Conhecimento
“BIG BROTHER DOS E-MAILS
Nem as mensagens deletadas estão livres
de ser lidas por programas de monitoramento
do correio eletrônico usados por empresas e
governos.”
Fonte: http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-celulares-e-sequestram-dados.html
POLÍTICA de SEGURANÇA
A S
F I N P B
E
I E N T E A
G.
R - T I S C
F
E M E - S K
Í
W A R V O U
S
A I N Í A P
R I
L L E L S
U C
L T
S A
ESTRATÉGIA de SEGURANÇA
Qual a melhor maneira de se proteger?
ESTRATÉGIA de SEGURANÇA
NECESSIDADES
DESENVOLVIMENTO DE CENÁRIOS
BS7799 e ISO/IEC 17799
Tópicos Abrangidos:
1. Política de segurança;
2. Segurança organizacional;
3. Classificação e controle dos ativos de informação;
4. Segurança de pessoas;
5. Segurança física e do ambiente;
6. Gerenciamento das operações e comunicações;
7. Controle de acesso;
8. Desenvolvimento e manutenção de sistemas;
9. Gestão da continuidade do negócio
10.Conformidade (com normas, regulamentos,
legislação, etc.)
COBIT
Fonte: http://idgnow.uol.com.br/seguranca/2012/03/06/maioria-dos-funcionarios-nao-segue-politicas-de-seguranca-das-empresas/
Para que a normatização?!
Para que a normatização?!
ISO/IEC 27001 e NBR ISO/IEC 27001 -
Tecnologia da informação – Técnicas de
segurança – Sistemas de gestão de segurança
da informação.
SGSI-Sistemas de gestão de segurança da
informação
O que é ISMS?
Information Security Management
System, ou Sistema de Gerenciamento
da Segurança da Informação é o
resultado da aplicação planejada de
objetivos, diretrizes, políticas,
procedimentos, modelos e outras
medidas administrativas que, de forma
conjunta, definem como são reduzidos
os riscos para segurança da informação.
Uma empresa que implante a norma
BS/ISO acaba por constituir um ISMS.
ISO/IEC 27001 e NBR ISO/IEC 27001
• Lucro
• Desafio, diversão
• Vingança
• Guerra (comercial ou militar)
• Coerção, extorsão
• Política, religião
“Hackers invadem sistema de marcação de consultas e exames de
Camaçari”
Publicada em 11.09.2012
Fonte:
http://www.ibahia.com/detalhe/noticia/site-do-governo-da-bahia-e-atacado-por-grupo-de-hackers-e-fica-fora-do-ar/
http://www.correio24horas.com.br/noticias/detalhes/detalhes-1/artigo/hackers-invadem-sistema-de-marcacao-de-consultas-e-exames-de-camacari/
Tipos de Ataque
• Externos
• Internos – abuso de usuários legítimos
• Uso não autorizado
• Acesso a informações sigilosas
• Recusa (negação) de serviço
• Modificação de Informações (bancos de dados,
páginas WWW)
• Captura de senhas
Tipos de Ataque
Fluxo Normal
A B
Destino da
informação
Interceptação Fabricação
A B A B
E E
Modificação Interrupção
A B A B
Nova versão do cavalo-de-tróia Gpcode criptografa arquivos e cobra resgate
do usuário.
http://info.abril.uol.com.br/aberto/infonews/082008/13082008-32.shl
Tipos de Ataque
• Sobrecarga:
– processos
• usuário dispara muitos processos, deixando a
máquina sem condições de uso
– disco
• usuário ocupa todo o espaço em disco,
impedindo o funcionamento de alguns
programas
– rede
• usuário usa toda a capacidade da rede
• usuário sobrecarrega o subsistema de rede
Tipos de Ataque
• Programas:
– Cavalos de Tróia
• Programas que parecem úteis mas tem código destrutivo
embutido
– Vírus
• Programas que se reproduzem, podem ser úteis em
ambientes de redes (agentes), mas são difíceis de
controlar. Podem ser destrutivos.
– Worms (Verme)
• Programas que se propagam pela rede. Podem causar
sobrecarga (Internet Worm) ou danos
Como Ocorre a Infecção
Spam;
Exploint;
Url maliciosas;
Mecanismos de Defesa
Criptografia:
Chave Arquivo
Arquivo
Original Original
Algoritmo Algoritmo
Mensagem
codificada
Criptografia de Chave Pública
Chave Chave
Arquivo Pública Privada Arquivo
Original Original
Algoritmo Algoritmo
Mensagem
codificada
Mecanismos de Defesa
• Assinaturas digitais:
– Similares às assinaturas em papel, servem para vincular
uma identidade a uma informação
– Baseadas em algoritmos de chave pública, embora
existam esquemas que só fornecem assinaturas
• Basta inverter a ordem de uso das chaves (em
sistemas reflexivos)
– Constituem uma das mais importantes técnicas de
autenticação
Mecanismos de Defesa
CONTROLE DE ACESSO:
• “Portaria” de um sistema;
• Necessita de um mecanismo de
autenticação;
• Impede uso não autorizado;
Compromisso de terceiros
Exs:
ipfw add 020 allow tcp from a.b.c.d to z.x.y.w 25
access-list 120 permit ip host 10.152.222.20 any
iptables -A FORWARD –p udp -s $REDE_INTERNA –d $IP_DNS1 --dport 53 -
j ACCEPT
acl bad_sites dstdom_regex "/etc/squid/bad_sites"
Mecanismos de Defesa
Estenografia
Detecção e Informe
Registro de Eventos
Messages Digest
Hacker ‘clona’ impressão digital apenas com uma fotografia
Fonte: http://oglobo.globo.com/sociedade/tecnologia/hacker-clona-impressao-digital-apenas-com-uma-fotografia-14929951
Mecanismos de Defesa
HASH
BACKUP
• Reduzir custos com hardware, software e mídia para
backup em localidades remotas;
• Atenuar as consequências de desatres naturais e
acidentes com processos automáticos e transparentes de
recuperação de dados, inclusive nas filiais;
• Aumentar a cooperação entre os usuários das aplicações
e os gerentes de servidores e meios de armazenamento
para proteger um dos principais ativos da empresa – AS
INFORMAÇÕES.
Revisão de acessos
Revisões Políticas
constantes de pessoal
Ferramentas
IDS
Rotinas
Auditoria
de verificação
preventiva
de acessos
Segurança em ambientes de Internet e Intranet
Ambiente de Segurança para aplicações na Intranet
Router
Proxy Firewall
Ethernet
Internet
Balanceador
Router
Proxy
Firewall
Segurança em ambientes de Internet e Intranet
Ambiente de Segurança para aplicações na Internet
Servidor Internet
Ethernet Servidor
Firewall Firewall WEB Firewall
WEB Router
e-Comerce Institucional
Incêndio / Desastres
Acessos Remotos Indevidos
Uso Indevido de Recursos
Roubo / Furto
Pirataria
Vazamento de Informações
Divulgação Indevida
Funcionários Insatisfeitos
0% 10% 20% 30% 40% 50% 60%
Legenda:
•dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de
operação um serviço, computador ou rede.
•invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
•web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
•scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados
por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um
computador.
•fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta
categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
•outros: notificações de incidentes que não se enquadram nas categorias anteriores.
http://www.cert.br/stats/incidentes/2015-jan-dec/tipos-ataque-acumulado.html
Tendências
Ransomware
É um tipo de malware que restringe o acesso ao sistema infectado e cobra um
valor de "resgate" para que o acesso possa ser reestabelecido
Tendências
Lembre-se que na Internet você nunca pode ter certeza sobre com
quem você está conversando;
Fazer planos para encontrar seus amigos de Internet na vida real normalmente é
uma idéia muito ruim;
Tenha em mente as regras de segurança quando estiver on-line.
Tendências
Internet da Coisas - IoT
“Anote no seu caderninho: esta sexta-feira (21) pode se tornar uma
data histórica e aparecer nos livros didáticos do próximo
século. Como já noticiamos anteriormente aqui mesmo no
TecMundo, estamos presenciando o maior ataque de negação de
serviço (DDoS) da história da computação — e, de acordo com
algumas linhas de pensamento, também podemos ver o início da 1ª
Guerra Mundial Cibernética.
Porém, o pior ainda estava por vir. No dia 10 de outubro, uma
internauta identificada simplesmente como Anna-senpai publicou o
código-fonte do Mirai no Github, disponibilizando a
ferramenta para qualquer que tivesse interesse em usá-la. Poucas
horas após o início do ataque de hoje, Kyle Owen, chefe de
estratégia da empresa de segurança Flashpoint, confirmou que o
DDoS estava sendo organizado através do programa em questão.“
http://www.tecmundo.com.br/ataque-hacker/110871-entenda-internet-eua-massacrada-sexta-feira.htm
21/10/2016
Tendências
Exposição da privacidade
• De forma:
- voluntária
. por eles próprios (direta)
. por terceiros (indireta)
- involuntária
. pela uso de aplicativos, acesso a sites, etc
. por pessoas mal-intencionadas
• Riscos associados a:
- Comportamentos
- Tecnologia
- Problemas de segurança
Direito Digital
Art. 1016: Os administradores (cargo de gerente para cima) respondem solidariamente perante a
sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.
Fonte: Direito Civil, Direito Autoral, Direito Comercial, Direito Contratual, Direito Econômico, Direito Financeiro, Direito Tributário, Direito Penal,
Direito Internacional etc.
Envolvimento
• Usuários
- entender os riscos e seguir as dicas de segurança
- manter seus dispositivos atualizados e tratar infecções
• Desenvolvedores
- pensar em segurança desde o início pensar nos casos de ABUSO (o
ambiente é HOSTIL)
• Acadêmicos
- incluir conceitos de programação segura logo nos primeiros anos
Dicas Preciosas