Você está na página 1de 7

Roteiro

TOCI-08: Segurança de Redes

Prof. Rafael Obelheiro


rro@joinville.udesc.br I. Apresentação da disciplina
II. Uma breve introdução à segurança

Aula 1: Introdução a SEG

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 1 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 2 / 27

Apresentação

Rafael Obelheiro
Formação
Parte I I Engenheiro de computação, FURG (RS), 1999
I Mestre em Eng. Elétrica, UFSC, 2001
Apresentação da Disciplina I Doutor em Eng. Elétrica, UFSC, 2006
Experiência na área
I Administrador de redes e sistemas UNIX desde 1994
I Analista de segurança no NBSO (atual CERT.br), 2002
I Mestrado e doutorado em segurança de sistemas distribuı́dos
I Participação no comitê de programa de eventos acadêmicos
(SBSeg) e profissionais (GTS)

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 3 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 4 / 27
Objetivo geral Objetivos especı́ficos

Compreender os principais conceitos e princı́pios envolvidos na Ao final da disciplina, o aluno deverá ter adquirido conhecimento sobre
segurança de sistemas computacionais interligados em rede
Conceitos são duradouros Conceitos de segurança computacional
A tecnologia muda constantemente, mas sem alterar os princı́pios Segurança de sistemas
A teoria sustenta a prática Mecanismos criptográficos
A prática mostra a aplicação da teoria Segurança de redes

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 5 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 6 / 27

Conteúdo programático Bibliografia

Introdução à segurança Principal:


Segurança de sistemas Gollmann, Computer Security, 2nd Ed. Wiley, 2006.
I autenticação Cheswick, Bellovin e Rubin, Firewalls e Segurança na Internet, 2a
I polı́ticas de segurança ed. Bookman, 2005.
I controle de acesso
I principais mecanismos criptográficos
I malware
Complementar:
I programação segura Bishop, Computer Security: Art and Science. Addison-Wesley,
Segurança de redes 2002.
I coleta de informações em uma rede Northcutt e Novak, Network Intrusion Detection: An Analyst’s
I firewalls e VPNs Handbook, 2nd Ed. New Riders, 2000.
I detecção e tratamento de intrusões
I segurança de aplicações de rede (web, email)
Stallings, Criptografia e Segurança de Redes, 4a ed. Prentice
I segurança de redes sem fio Hall, 2007.
? outros livros e artigos

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 7 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 8 / 27
Avaliação Informações adicionais

Página da disciplina
Três provas I http://www2.joinville.udesc.br/~dcc2rro/
I P1: 3 de setembro (30% da nota final)
Lista de discussão
I P2: 17 de outubro (35% da nota final)
I P3: 19 de novembro (35% da nota final)
I http://joinville.udesc.br/mailman/listinfo/seg-bcc-l

Trabalhos podem substituir parte das notas parciais (a decidir) Notas de aula
Exercı́cios Atendimento
Freqüência

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 9 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 10 / 27

Algumas dicas Explicitando as premissas

Durante as aulas: preste atenção, tome notas, pergunte,


participe, permaneça na sala. . .
I é um uso mais eficiente do seu tempo
Evite perder aulas
I caso perca, informe-se sobre o que foi visto em aula
Não deixe as dúvidas se acumularem
Acompanhe a bibliografia de referência e os exercı́cios
I permite identificar eventuais dificuldades a tempo

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 11 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 12 / 27
Questionário preliminar

1. Nome
2. Email
3. Você atua na área de computação (emprego, estágio, IC, . . . )? Se Parte II
sim, especifique a área de atuação
4. Você já cursou REC? Uma Breve Introdução à Segurança
5. Qual a sua expectativa para esta disciplina?
6. Atribua notas de 1 (menor) a 6 (maior) para seu conhecimento
dos seguintes assuntos:
a) UNIX/Linux
b) redes TCP/IP
c) segurança

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 13 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 14 / 27

Por que a segurança é importante Incidentes de segurança no Brasil

Cada vez mais as pessoas e as organizações dependem da


informação e dos sistemas que a processam
Atributos relevantes
I confidencialidade
I integridade segurança
I disponibilidade
Nem sempre se consegue garanti-los

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 16 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 17 / 27
Incidentes de segurança nos EUA Quem é o inimigo?
A Internet eliminou as fronteiras geográficas
Dados do CERT.br sobre a origem dos ataques (2006)

25.00% 24.61%

22.50%
21.18%
20.00%

17.50%

Ataques (%)
15.00%

12.50%

10.00% 9.45%

7.50%
6.13%
5.51%
5.00% 4.70%

2.69% 2.55%
2.50% 2.10% 2.05%

0.00%
US BR CN ES RU KR TW FR DE AR
Origem

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 18 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 19 / 27

Conseqüências da insegurança Um exemplo


Dados de cartões de crédito encontrados em redes IRC
americanas
Perda de dados
Roubo de informações sigilosas
Indisponibilidade de serviços
Comprometimento da imagem pública
Fraudes bancárias e financeiras
Roubo de identidade
Extorsão
Envolvimento em atividades indevidas ou ilegais → spam,
ataques a outras máquinas, pirataria, pornografia
Tudo isso representa prejuı́zo moral ou financeiro

Fonte: Franklin et al., “An Inquiry into the Nature and Causes of the Wealth of
Internet Miscreants” (ACM CCS’2007)
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 20 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 21 / 27
Princı́pios básicos Fatores humanos (1/2)

A segurança muitas vezes se contrapõe à conveniência


I Exemplo: diversidade de senhas que precisam ser memorizadas
F Banco: cartão, Internet, letras
F Internet: provedor, email, cadastro em sites
Acima de tudo, a segurança é tão forte quanto o seu elo mais F Outras: celular (chip), alarme da casa, vale refeição, . . .
fraco I “Soluções”
Podemos considerar três tipos principais de fatores F Senhas em branco
F Senhas óbvias ou fáceis
I Humanos F Senhas repetidas
I Econômicos F Post-Its
I Tecnológicos F Arquivo senhas.txt (de preferência no desktop)
Segurança é difı́cil de usar, ou trabalhosa
I Quem já fez seu backup hoje?
I Descuido com dispositivos ou mı́dias portáteis
I Se as pessoas não conhecem os riscos. . .
I Afeta também os profissionais da área

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 23 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 24 / 27

Fatores humanos (2/2) Fatores econômicos


Motivações dos atacantes
I Diversão
I Desafio Poucos estão dispostos a pagar por segurança
I Fama I Software seguro custa mais e leva mais tempo para ser lançado
Além disso, muitas vezes o atacante tem tempo de sobra. . . I Em conseqüência, os fornecedores não têm incentivos para
aumentar a segurança de seus produtos
Assimetria de recompensas I Os usuários finais acabam incorrendo nos custos
I Para o atacante, um acerto pode recompensar 99 erros
I Para o defensor, um erro pode anular 99 acertos Mais recentemente, os incidentes de segurança passaram a ser
vinculados a atividades criminosas → hacking for profit
I Roubo de cartões de crédito
I Fraudes bancárias
I Redes de máquinas comprometidas (bots) que podem ser usadas
para extorsão (DDoS) ou alugadas para envio de spam ou
lançamento de ataques

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 25 / 27 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 1: Introdução a SEG SOP 26 / 27
Fatores tecnológicos

Do ponto de vista tecnológico, existem três fatores principais:


Sistemas que não são inicialmente projetados considerando a
segurança
I A segurança só é incorporada mais tarde
I Isso muitas vezes deixa vulnerabilidades estruturais irremediáveis
Dificuldade de construir sistemas invioláveis
I O paradigma do servidor superseguro
Dificuldade de usar corretamente as soluções de segurança
existentes
I Gerenciamento da segurança

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 1: Introdução a SEG SOP 27 / 27