Noções de Informática

Segurança da Informação
Jheovane Melo
jheovane@[Link]
@jheovane
jheovanemelo
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Objetivos
• Compreender os 5 pilares de
segurança da informação;
• Conhecer os diferentes tipos e
mecanismos de autenticação;
• Conceituar segurança lógica e física;
• Compreender o ciclo de vida da
informação;
Importância da Informação
• Informações são um ativo da empresa
– Devem ser protegidas!
• Garantir continuidade dos negócios
• Maximizar o retorno de investimentos/oportunidades
• Minimizar transtornos.
• Informação em constante risco
– Em especial porque muitas são “sensíveis”
• Proteção dos negócios
• Lei Geral de Proteção de Dados
5 Pilares da Segurança da Informação
Confidencialidade (Garantir que informações sejam mantidas sob sigilo – ex:
criptografia de dados)
Disponibilidade (Garantir que as informações estejam disponíveis no momento
certo que precisarem, seguindo as regras de confidencialidade)
Integridade (Garantir que as informações não sofram alterações no seu
caminho ou tráfego)
Autenticidade (Garantir que as informações sejam verdadeiras e seguras)
Inrretratalabilidade (Não negar a autoria das informações, como uma forma de
garantir a autenticidade)
Garantia da Autenticidade
• Segurança: lógica + física
– Conteúdo + Meio Portante
• Controle de Acesso
CONTROLE DE
ACESSO
Controle de Acesso
• Segurança pressupõe controle de acesso
– Físico: portões, muros etc.
– Lógico: login, registros, senhas, certificados
digitais (logging etc.).
• Envolve
– Recurso: o que será protegido
– Usuário: quem pode acessá-lo / modificá-lo

Tudo é proibido a menos que

expressamente permitido
Controle de Acesso

• Dois pontos fundamentais de

interesse
–Proteger informações e transações
de usuários não autorizados
–Monitoramento do acesso a recursos
críticos para a empresa.
Controle de Acesso: Procedimento
• Logon/Login: dois processos básicos
– Identificação: qual é o usuário e suas permissões
– Autenticação: comprovar a identidade

• Identificação: por meio de informação única

– Número de identificação, nome de usuário...
• Autenticação: informação ou item de posse
exclusiva do usuário
– Senha, medição biométrica, chave criptográfica...
Controle de Acesso: Procedimento
• Logon/Login: dois processos básicos
– Identificação: qual é o usuário e suas permissões
– Autenticação: comprovar a identidade

• Resumindo
– Identificação + Algo que usuário sabe ou tem
Sistemas de Registro (Logging)
• Finalidade: auditoria
• Logs devem registrar
– Tudo que um usuário fez
– Quem fez qualquer coisa.
• Demanda ações da administração do sistema
– Cadastro / Comunicação de Senhas
• Cada usuário é único no sistema (incluindo adms)
– Controle de alterações nas permissões
– Gerenciamento de Logs
– Auditorias Frequentes.
Assinaturas Digitais
• Objetivo: garantir integridade e não-repúdio
(irretratabilidade)
• Requisitos
– Receptor: verificar identidade do autor
– Autor: não repudiar (negar) o conteúdo
– Receptor/Intermediário: não alterar/forjar
conteúdo.
• Meio comum: Criptografia de Chave Pública
SEGURANÇA FÍSICA X
LÓGICA
Aspectos Lógicos x Físicos
• Dado em Si x Meio Portante
– Texto em uma folha de papel (FÍSICO)
– Bytes em um SSD. (LÓGICO)
• Integridade
– Lógica: conteúdo preservado (De forma
digital)
– Física: integridade do meio do
portador;
Aspectos Lógicos x Físicos

Não existe segurança lógica

sem segurança física
Aspectos Lógicos x Físicos
• Elementos da Segurança lógica:
– Identificação/Autenticação
– Registro em Logs
– Controle de Permissões de Acesso.

• Elementos da Segurança Física?

– Segurança puramente física
• Portão com cadeado, porta com chave
• Ainda assim, existe uma espécie de
autenticação!
Segurança Lógica x Física
• Papel chave no controle de acesso físico
– Nada é seguro se houver acesso físico
– Há muitos anos... (FBI)
• 72% dos ataques originam-se em funcionários
• 20% por autorizados pela empresa
• 8% por agentes externos (pessoas sem permissões)
– Hoje (Kaspersky/Redteam)
• 50%+ ainda são originados em funcionários
• 71% dos vazamentos acidentais
• 68% dos vazamentos por ignorar a política
• 61% dos casos de vazamento maliciosos
Segurança Lógica x Física
• Controle de Acesso Físico Automatizado
– Software: controle de acesso e apoio à auditoria
– Características desejáveis
• Proteção contra ataques forçados
• Atualização do sistema
• Registro de acessos detalhado
• Autenticação por senha (smartcard + senha)
• Bloqueio de múltiplos acessos
• Controle centralizado de acesso
• Monitoração e relatórios de incidentes
• Proteção de equipamentos e sistema backup.
MECANISMOS BÁSICOS
DE PROTEÇÃO
Proteção Básica
• Qual é o mínimo que devo fazer?
– Antivírus
– Firewall
– Configuração Segura da Rede
– Configuração Segura de Software
– Rotinas de segurança
Proteção Básica - Antivírus
• O que tem de importante?
– Use.
– Use sempre.
– Ative a proteção em tempo real
– Agende checagens semanais
• No fim de semana, se máquinas ficam ligadas
• Segunda no início do expediente, se ficam desligadas.
– Agente atualizações diárias
• Do antivírus
• Das definições de ameaças.
Proteção Básica - Firewall
• O que tem de importante?
– Use.
– Use sempre.
– Feche absolutamente todas as entradas novas;
– Controla todas as portas (lógicas) de conexões de
um computador;
– Gerencia conexões de um computador;
Proteção Básica - Software
• Preciso fazer algo?
– Nunca permita que usuário instale software
• Se necessário, deve solicitar... E software será avaliado.
– Sempre mantenha a versão mais atualizada
• Em especial de softwares que abrem portas na rede.
Fator decisivo para um ambiente
seguro digitalmente
Treinamento Humano
• É importante?
– Evitar “desconhecimento”
– O usuário tem papel fundamental e decisivo quando se
trata de segurança da informação, pois o mesmo é
responsável por simples escolhas, desde um clink em um
link ou o download de um arquivo;
Treinamento
• Alguns elementos que não podem faltar:
– Inspeção de Conteúdos
• Empresa pode inspecionar qualquer dado
– Instalação de Software
• Que não podem instalar sem autorização formal e
expressa da empresa
POLÍTICAS DE SENHAS
Senhas: Quebrando-as
• Existem 2 formas básicas de se obter senhas
– Engenharia Social
• Conseguir que a pessoa a forneça
• Encontrar a mesma registrada em local não seguro
• Senhas óbvias (informações facilmente encontradas).
– Força Bruta
• Testar usuários/senhas até encontrá-los
• Palavras comuns
• Senhas simples (usando apenas letras, por exemplo).

• Vejamos regras e orientações para dificultar...

Senhas: Regras
• As seguintes regras devem ser seguidas
– Manter a confidencialidade das senhas
– Nunca compartilhar senhas
– Evitar registrar as senhas em papel
• Se precisar registrar, use um software adequado
• Ex.: KeePass, mSecure, LastPass, DashLane....
Senhas: Regras
• As seguintes regras devem ser seguidas
– Selecionar senhas de boa qualidade
• Muito curtas: ruim
• Muito longas: ruim
• De 6 a 8 caracteres.
– Alterar quando houver indício de anormalidade
– Alterar as senhas em intervalos regulares
• Usuários com acesso privilegiado: intervalos menores.
Senhas: Alternativas
• Há alternativas ao uso de senhas
– Uso de Tokens (cartões de senha ou
dispositivos)
– Certificados Digitais (smartcard)
– Uso de biometria
– Ativação de dispositivos. (2 fatores)

• Em geral, em sistemas de alta segurança...

– Usa-se esses métodos:
– Uma senha + verificação 2 fatores
AMEAÇAS À
SEGURANÇA DAS
INFORMAÇÕES
Ameaças à Informação: Contexto
• O mundo mudou muito nas últimas décadas
– Documentos são digitais
– Processos são digitais
– Uso da “nuvem”
– Dispositivos “sempre online”
– Todos os dispositivos sempre online...!
Ameaças à Informação: Contexto
• Os “armários”, hoje em dia, são digitais!
Ameaças à Segurança
• Potencial de violação à segurança
– Circunstância, ação ou evento
→ quebra da segurança
Ameaças à Segurança Organizacional
• Referem-se à perda de:
– Integridade
• Informação exposta ao manuseio não autorizado
– Confidencialidade
• Informação exposta à visualização não autorizada
– Disponibilidade
• Informação deixa de estar acessível no momento
necessário às atividades do negócio
Ameaças à Rede ou Sistemas
• As informações e processos digitais...
– Dependem do uso de redes e sistemas
• Ameaças podem focar nesses elementos
Aparte: Hackers x Crackers
• Hackers
– Muito conhecimento em TIC
– Conhecimento avançado de programação
– Conhecimentos de eletrônica, psicologia etc...
– Ação: dentro da legalidade(?)
– Motivação: avanço tecnol.(?), causa(?)...
• Crackers
– Conhecimento como o dos hackers
– Ação: quebra da legalidade
– Motivação: notoriedade, vingança, ganhos...
Aparte: Hackers x Crackers
• Na terminologia hackers
– Chapéu Branco (White Hat)
– Chapéu Preto (Black Hat)
– Chapeu Cinza (Gray Hat)
 PRINCIPAIS
TIPOS DE
AMEAÇAS
Principais Tipos de Ameaças
• Pessoas mal intencionadas!
• Softwares do tipo “malware”
– Malicious Software
– Software que se infiltra na máquina de forma ilícita
• Causa danos, alterações ou roubo de informações
– Como se infiltram?
• Vulnerabilidades de programas existentes
• Auto-execução de mídias infectadas
• Acesso a páginas web com navegadores vulneráveis
• Ação direta de atacantes
• Execução de arquivos infectados.
Principais Tipos de Ameaças
• Principais tipos de malware
– Vírus
– Worms
– Bots e Botnets
– Spywares
– Trojans
Malwares - Vírus
• Programas que alteram softwares instalados
• Propagação: execução de arquivos infectados
– Mídias Removíveis (Disquetes, pen drives...)
– Comunicação (E-mails, mensagens...)
– Repositórios
• Tipos
– Vírus em executável (mais comum em e-mails)
– Vírus de script (em geral vem por e-mail também)
– Vírus de macro (em geral em documentos)
– Vírus de smartphone (mensagens MM ou por BT).
Malwares - Worms
• Programas que alteram softwares instalados
• Propagação: automática
– Explorando vulnerabilidades
• Em geral consomem muitos recursos
– Da rede e dos computadores
• Processo
– Identifica os computadores alvos
– Envia cópias
– Ativação (automática ou por ação do usuário)
– Volta ao primeiro passo...
Malwares - Bots
• Programas que permitem controle da máquina
– Por meio da rede!
– Computador vira um “zumbi”
– Pode-se comandar vários: Botnet
• Propagação: automática (tipo de worm)
– Explorando vulnerabilidades
• Em geral consomem muitos recursos
– Da rede e dos computadores... Quando ativos!
Malwares - Spyware
• Programas que permitem monitorar a máquina
– Envia informação de interesse para terceiros
• Propagação: pode ser
– Automática (worm)
– Execução pelo usuário (vírus)
• Tipos comuns
– Keylogger: captura as teclas pressionadas
– Screenlogger: captura a tela da aplicação
– Adware: mostrar propagandas
Malwares - Trojan
• Programa “legítimo”, inclui “surpresas”
– Cartões virtuais, jogos, cracks
• Propagação: execução pelo usuário (vírus)
• Tipos comuns de Trojans
– Downloader: baixa/exec. códigos maliciosos
– Dropper: executa códigos maliciosos embutidos
• Proxy: instala ou age como servidor proxy
• Spy/Banker: instala age como spyware
– Backdoor: habilita um backdoor (acesso remoto)
– DoS: permite desferir ataques (bot)
– Destrutivo: apaga coisas, formata discos...
– Clicker: redireciona a navegação do usuário.
ATAQUES À SEGURANÇA
DAS
INFORMAÇÕES
Ameaça x Ataque
• Ameaça
– Potencial para a violação
– Circunstância, capacidade, ação ou evento
– Pode explorar uma vulnerabilidade
• Ataque
– Tentativa de violação da PSI
– Normalmente explora vários vulnerabilidades
– Pode se usar de várias técnicas
Ataques Passivos
• Monitorar transmissões
– Objetivo: obter informações transmitidas
– Meio: telefonia, e-mail, arquivos transferidos...
Ataques Passivos
• Análise de tráfego
– Objetivo: obter informações sobre comunicações
– Meio: analisar a troca e tipo de mensagens
Ataques Passivos – Como Evitar
• Detecção difícil
– Sem alterações nos dados
– Padrão de tráfego normal (aparentemente)
– Emissor e receptor não cientes
– Prevenir ao invés de identificar.
• Medidas de segurança
– Criptografia do conteúdo...
• Não impede acompanhamento do padrão
– Criptografia ponta-a-ponta
• Mecanismos para garantir as pontas
Ataques Ativos
• Personificação (ou Disfarce)
– Meio: faz-se passar por outra pessoa
– Em geral é porta para outros ataques ativos
Ataques Ativos
• Repetição
– Meio: captura mensagem e retransmite após
Ataques Ativos
• Modificação de Mensagens (Men in the Middle)
– Meio: captura mensagem, altera e retransmite
Ataques Ativos
• Negação de Serviço (DoS)
– Impedir acesso a algum serviço
– Meio: inúmeras conexões ao serviço
Ataques Ativos – Como Evitar
• Detecção pode intimidar
– Ajuda na prevenção
• Medidas de segurança
– Muito difícil impedir
• Muitas vulnerabilidades!
– Detectar e reagir
• Recuperar interrupções e atrasos
– Assinatura digital/criptografia
ponta-a-ponta ajuda
• Mecanismos para garantir as
pontas
Terminologia Mais Completa
• Ameaças: Circunstância, ação ou evento que pode levar à
quebra de segurança

• Vulnerabilidade: fragilidade nos ativos que o expõe a

ameaças

• Risco: valor que resume a probabilidade de uma ameaça e

seu impacto

• Incidente ou ataque: uma tentativa ou sucesso de uma

ameaça em explorar uma vulnerabilidade

• Desastre: impacto de um ataque de sucesso

• Exploit: programa que explora uma vulnerabilidade
PRINCIPAIS VULNERABILIDADES
Tipos de Vulnerabilidades
• São 7 os tipos de vulnerabilidades:
1. Naturais
2. Físicas
3. Hardware
4. Software
5. Armazenamento
6. Comunicação
7. Humanas
1. Vulnerabilidades Naturais
• São aquelas decorrentes de fenômenos
naturais e que trazem riscos para
equipamentos e informações
– Ex. : inundações, terremotos, maremotos...
2. Vulnerabilidades Físicas
• São ambientes que possuem pontos fracos em
nível de espaço físico, comprometendo a
segurança dos equipamentos e informações
– Ex.: espaço inadequado para trabalho, falta de
extintores de incêndio, pessoas não autorizadas
transitando no local...
3. Vulnerabilidades de Hardware
• São aquelas relacionadas à defeitos de
fabricação ou configuração inadequada
podendo permitir ataques
– Ex.: falta de atualização de firmware,
equipamentos mal dimensionados...
4. Vulnerabilidades de Software
• Falhas em programas que permitam acesso
não autorizado aos equipamentos.
– Ex.: aplicativos mal configurados, programas de e-
mail que permitem execução de código, programas
desatualizados...
5. Vulnerabilidades de Armazenamento
• Falha ou uso inadequado do suporte físico,
podendo comprometendo a segurança dos
dados
– Ex.: equipamento além da vida útil, defeitos de
fabricação, prazo de validade das mídias...
6. Vulnerabilidades de Comunicação
• São as relacionadas ao tráfego de informação,
seja por cabo de cobre, fibra, ondas de rádio
ou satélite, permitindo eventuais intervenções
de terceiros.
– Ex.: Sniffer na rede, interrupção da comunicação...
6. Vulnerabilidades Humanas
• São aquelas relacionadas à atitudes humanas
inadequadas, intencionais ou não, que possam
colocar em risco a segurança da informação
– Ex.: Uso de senhas fracas, compartilhamento de
credenciais, desconhecimento da política de
segurança, funcionários descontentes...
FERRAMENTAS PARA ANÁLISE
DE VULNERABILIDADES
Por Que Usar Ferramentas?
• Não há como evitar 100% dos ataques
• Análise de Risco
– Permitir identificar os maiores riscos
• Probabilidade x Impacto
• Associados à ameaças e vulnerabilidades
– Base em vulnerabilidades conhecidas...
• E as desconhecidas?

• Mapear as vulnerabilidades
– Para mitigá-las ou eliminá-las
– Sempre observando os custos
Quais Ferramentas?
• Prevenção Básica
– Antivírus/Antimalware: identifica, desativa ou elimina
esses tipos de ameaças. Atua no lado da “ameaça”
– Firewall: controla o que entra e sai em um
equipamento ou uma rede. Atua no lado da
“vulnerabilidade”
– Comunicação segura (SSL/HTTPS): codifica os dados
ponta a ponta. Atua no lado da “vulnerabilidade”

• Ferramentas de busca
– Scanners: identificam vulnerabilidades
• Maneira automatizada
Criptografia
• Codificação dos dados
• Processo que transforma
Texto Claro Texto Cifrado
(Legível) (“Aleatório”)

• Algoritmo de criptografia
– Cifragem: tornar o texto claro em cifrado
• “Criptografar” ou “Encriptar”
– Decifragem: tornar o texto cifrado em claro
• “Decriptografar” ou “Decriptar”
Chave Criptográfica
• Porta: basta ela existir?
– Precisa haver uma chave
• Chave permite “trancar” e “destrancar”
– É o “segredo” de um criptografia
– Similar a uma “senha”
• Tradicionalmente, remetente e destinatário...
– Precisam ter uma cópia da chave
Mensagem Legível Mensagem Cifrada Mensagem Legível

Uma QDUI#Y8HD Uma

mensagem! Algoritmo de JqsQ~]{2QJH Algoritmo de mensagem!
Encriptação Decriptação
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
 GABARITO
01 - a 14 - e
02 - b 15 - a
03 - b
04 - c
05 - b
06 - c
07 - b
08 - b
09 - c
10 - a
11 - e
12 - c
13 - b