BC-1523 - Segurana de Dados

fid en cia l i da de

int r eg

dados e servios

co n

de ida

disponibilidade

Aula 01 Apresentao da disciplina Introduo a Segurana de dados

Elaborada: Carlos Alberto Kamienski Adaptaes: Marcelo Zanchetta do Nascimento

Roteiro
Apresentao:
Motivao Objetivos Apresentao Programa Avaliao Cronograma Regras de comportamento

Introduo a Segurana de dados:

2

Apresentao da disciplina

Motivao

Ataques na Internet tem sido cada vez mais frequentes e sofisticados => quantidade de estratgia e conhecimento requerido tem decaido.

Motivao
to no umen um a endo ocorr taques??? est de a rque Po mero n
Aumento na complexidade: Protocolos; Aplicaes Internet
5

Motivao

Estimativa de prejuizo causado por vrios tipos de ataques devido a baixa segurana dos sistemas computacionais.

Objetivo Geral
Viso geral sobre segurana, para que o aluno saiba como prevenir, defender e resolver incidentes de segurana
Do ponto de vista de um profissional de segurana

Alerta: no um curso para hackers!

A maneira como as informaes sero utilizadas de responsabilidade de cada aluno

Objetivos Especficos
Compreender os principais vulnerabilidades de segurana; riscos e

Conhecer as normas, procedimentos e polticas para gerenciamento de segurana da informao; Conhecer os principais aplicativos relacionados com segurana; Conhecer os principais problemas e solues no desenvolvimento de aplicaes seguras; Utilizar ferramentas de segurana de dados.
8

Objetivos Especficos
Explorar conceitos bsicos, princpios mecanismos de segurana de dados. Conceitos bsicos de segurana Criptografia Autenticao Controle de acesso IPsec Firewall e

Ementa
Introduo e Motivao
Polticas e normas de segurana da informao

Sistemas de Gesto de Segurana da Informao Ferramentas, Vulnerabilidades e Ataques

Cdigos maliciosos (malware), programas de varredura (scanners), Quebradores (crackers) de senhas; Farejadores" (sniffers)

Firewalls, proxies e NATs (middleboxes) Ferramentas de log e auditoria Deteco de vulnerabilidades Segurana no Desenvolvimento de Aplicaes Demonstrao e prticas com ferramentas de segurana.
10

Metodologia
Aulas expositivas e demonstrativas (professor)
Apresentaes com PowerPoint e quadro Demonstraes de softwares Apresentao de sites

Aulas prticas / Relatrios Tcnicos (professor e alunos)

Ferramentas e tcnicas usadas por hackers Ferramentas e tcnicas de proteo

Seminrio (alunos)
Tema relacionado a segurana

Pesquisa constante
Pesquisa de livros, sites, tcnicas, ferramentas, incidentes, etc. Preparao de resumos Discusso em aula
11

Crditos
Cada disciplina na UFABC representada por trs algarismos: T P I. Para a disciplina BC-1523, temos: T: 3h - Nmero de horas semanais de aulas expositivas presenciais da disciplina (Tericas); P: 1h Nmero de horas semanais de trabalho de laboratrio, aulas prticas ou de aulas de exerccios, realizadas em sala de aula (Prticas); I: 4h - Estimativa de horas semanais adicionais de trabalho necessrias para o bom aproveitamento da disciplina (estudos e trabalhos Individuais).
12

Conceitos
A: desempenho excepcional, demonstrando excelente
compreenso da disciplina B: bom desempenho, demonstrando capacidade boa de uso dos conceitos da disciplina C: desempenho adequado, demonstrando capacidade de uso dos conceitos da disciplina e capacidade para seguir em estudos mais avanados D: aproveitamento mnimo dos conceitos da disciplina, com familiaridade parcial do assunto, mas demonstrando deficincias que exigem trabalho adicional para prosseguir em estudos avanados
13

Conceitos
F: reprovado. A disciplina deve ser cursada novamente para
a obteno de crdito

O: reprovado por falta. A disciplina deve ser cursada novamente para a obteno de crdito I: incompleto. Indica que uma pequena requerimentos do curso precisa ser completada parte dos

T: disciplinas equivalentes cursadas em outras escolas e admitidas pela UFABC

14

Regras de comportamento
o Os alunos sero considerados adultos: o Entrar e sair da sala freqentemente no permitido o Chegar no final da aula desencorajado o Manifestaes excessivamente efusivas (barulhentas) sobre assuntos no pertinentes aula so dispensadas o Durante as explicaes recomenda-se o silncio o Espera-se iniciativa e responsabilidade na execuo das tarefas o Espero dedicao a disciplina

15

Regras de comportamento

Uso do Laboratrio:

No permitido comer ou beber no laboratrio Os equipamentos devem ser preservados

Celular: por favor, desligue ou ative o modo silencioso durante as aulas

16

Horrios
Aulas: BLOCO B
Quinta-feira: 21-23 h L604 (Bloco B)

Diviso
Terica: 3 horas Prtica: 1 horas Laboratrio: Sala 409-2 (Bloco A Torre CMCC) Tera-feira: 19-21 h ATENO: Existem horrios disponveis para eventuais reposies?
17

Avaliaes
1. Provas 2. Seminrio 3. Aula prtica Relatrio Tcnico 4. Mini-atividades
Resumos e discusses em aula Mini-testes Prticas Avaliao subjetiva (Presena em aula e Participao em aula)
18

Avaliaes

2 Prova dissertativa (Peso = 70%)

Prova substitutiva
Engloba todos os itens do programa da disciplina S para quem perdeu uma prova

Relatrio de Atividades em Laboratrio Seminrios: Os tpicos sero tratados nos prximos slides (Peso = 30%)

Calendrio de avaliaes: Provas: 22/03 (P1) e 26/04 (P2)

19

Critrios de avaliao
Relatrios e atividades
Ser permitido uma definio da equipe de trabalho (mximo 02 alunos). Colaborao: Voc pode discutir as atividades com outros colegas. Porm, os cdigos ou documentos devem ser de autoria prpria. Cpia de cdigo ou documento de outros estudantes no sero tolerados. Os relatrios que apresentarem sinais de cpia de trabalhos de outros alunos, independente de tratarem-se do original ou da cpia (Conceito F).

20

Critrios de avaliao
Relatrios e atividades:
Modelo: disponvel na Aba da disciplina aula 00 modelos de documentos. Atraso na submisso: Uma atividade ou relatrio submetido: em at 24 horas aps a data de entrega ser decrementado um conceito, aps 48 horas da data de entrega no ser mais aceito e ser atribudo o conceito F.

21

Critrios de avaliao
Seminrio:
Quando tratar-se de seminrios o trabalho dever ser entregue seguindo o modelo (obedecendo s normas da metodologia cientfica). A apresentao (slide) dever ser entregue na forma digital juntamente com trabalho escrito (artigo). S sero aceitos os trabalhos na data prevista. Ser permitido a definio da equipe de trabalho (mximo 03 alunos). Os modelos esto disponveis no tidia-ae
22

Critrios de avaliao
Seminrio:
Os seminrios devero ser divididos entre os alunos de cada grupo; Os temas de seminrio sero fornecidos pelo professor; Todos os membros devem apresentar uma parte do trabalho:
O conceito final para cada estudante do grupo de seminrio em grupo poder ser diferente; Durao minma: 50 minutos; Lembre-se o conceito final dessa etapa composto do documento e apresentao. Lembre-se esse material ser utilizados por todos para a segunda avaliao.
23

Seminrio
Tpicos:

Algoritmos de criptografia: 1 - Criptografia de chave pblica (G1) 2 - Funo hash (G2) Data 29/03 Segurana em Banco de Dados (G3): Requisitos de segurana, controle de acesso e autenticao Criptografia em Banco de dados Data: 05/04

24

Seminrio
Tpicos:

Segurana em Sistemas Operacionais (G4): Mtodos de proteo, Proteo de memria e endereamento Controle de acesso Mecanismo de proteo de arquivos Autenticao e Sistema confivel Data: 05/04 Linux e Windows (G5) Modelo de segurana ou arquitetura Vulnerabilidade, Segurana em arquivos Controle de acesso, Servio de criptografia Data: 12/04
25

Seminrio
Tpicos:

Segurana em redes (G6): Email PGP S/MINE Arquitetura SSL Segurana na camada de transporte IPsec IKE (Internet Key Exchange) Data: 12/04

26

Cronograma (preliminar)
Semana 1 2 Tera-feita

Quinta -feira
dados / criptografia 16/02 - Criptografia

07/02 - Apresentao e introduo 09/02 Introduo a segurana de a segurana de dados 14/02 Vulnerabilidade de programas - Prtica1: Vulnerabilidade Set-UID

3 4

21/02 - Feriado 28/02 Criptografia Prtica2: Algoritmos de criptografia

23/02 - Criptografia 01/03 Autenticao de usurio

5 6 7

06/03 Redes- Prtica3: Sniffer 13/03 Programao segura 20/03 - Programao segura Pratica4: Buffer overflow

08/03 Autenticao de usurio 15/03 Programao segura 22/03 Prova 1

27

Cronograma (preliminar)
Seman a 8 9 27/03 Redes de computadores e Firewall - Redes/vpn 03/04 Gerenciamento baseado em politicas 10 10/04 - Redes: varredura de portas Pratica5: nmap 11 17/04 Linux -firewall Laboratorio6: Iptable 12 13 24/04 Softwares maliciosos 03/05 - Prova - Sub
28

29/03 Seminrios- G1 e G2 05/04 Seminrios G3 e G4

12/04- Seminrios G5 e G6

19/04 Certificao de segurana e normas ISO (27001 e 27002) 26/04 Prova 2

Referncias bsicas:
Stallings, W., Brown, L. Computer Security: Principles and Practice, ed. Prentice Hall, ISBN-13: 9780136004240 Stallings, W. Criptografia e segurana de redes Princpios e Prticas, 4 edio, ed Prentice Hall - ISBN 8576051192

29

Referncia complementar:
Charlie Kaufman, Radia Perlman, and Mike Speciner, Network Security: Private Communication in a Public World, 2nd Edition, Prentice Hall, ISBN: 0-13-046019-2. Charles P. Pfleeger and Shari L. Pfleeger. Security in Computing (3 nd edition). PrenticeHall. 2003. ISBN: 0-13-035548-8.

30

Referncias: Pginas na Internet

http://www.cert.org/ http://www.securityfocus.com/ http://slashdot.org/
CERT Coordination Center (CERT/CC) , localizado na SEI (Software Engineering Institute) da Universidade Carnegie Mellon Importante centro de segurana da informao da Internet o mais abrangente e confivel (segundo ele mesmo) Site pra hackers e nerds NIST Computer Security Division Forum of Incident Response na Security Teams Internet Storm Center

http://csrc.nist.gov/

http://www.first.org/ http://isc.sans.org/

http://www.intrusions.org/

Incident Detections, Honeypots and Incident Handling Resources

31

Referncias: Pginas no Brasil

http://www.modulo.com.br/
Empresa brasileira com muita experincia em produtos e servios

http://www.cais.rnp.br/
Centro de Atendimento de Incidentes de Segurana da RNP

http://www.cert.br/
CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil

32

Referncias: Ferramentas
http://www.wireshark.com/ http://nmap.org
Nmap Security Scanner Nessus: The Network Vulnerability Scanner Snort: Network Intrusion Prevention and Detection System (IDS/IPS) iptables: configuration of packet filter rules (firewall) John the Ripper password cracker GNU Privacy Guard; encrypt and sign data and communication
33

Wireshark: A Network Protocol Analyzer

http://www.nessus.org http://www.snort.org

http://www.netfilter.org/projects/iptables http://www.openwall.com/john/ http://www.gnupg.org/

Ferramenta: Laboratrio
Laboratrio do projeto SEED Este laboratrio foi desenvolvido no projeto SEED da Universidade de Syracuse com o apoio da National Science Foundation (NSF). O objetivo do projeto SEED desenvolver um ambiente de laboratrio e exerccios para o ensino de segurana dos dados em sistemas computacionais. Os experimentos de laboratrio foram fornecidos pelo Dr. Wenliang Du da Universidade de Syracuse.
34

Ferramenta: Laboratrio
Cadastro no sistema tidia-ae: http://ae.ufabc.edu.br Vmware: Verificar e instalar o vmware player para execuo da mquina virtual SEED Mquina virtual disponvel com o professor ou direto pelo site do Vmware: http://www.vmware.com/products/player/. No Linux: sudo sh VMware-Player-4.0.0-471780.x86_64.bundle
35

Introduo a Segurana de Dados

36

O que significa segurana ?

Como podemos proteger os nossos bens valiosos? Bancos? Antigamente: os bancos mantinham grandes quantidades de dinheiro em mo, bem como ouro e prata, que no pudiam ser rastreados. Comunicaes e transportes eram primitivas Hoje:proteo de ativos mais fcil, com muitos fatores trabalhando contra o criminoso.
Exemplo: sistemas de alarme e cmera - as tcnicas de investigao criminal tornaram-se to eficaz que uma pessoa pode ser identificado por material gentico (DNA), as impresses digitais, os padres da retina, voz, etc.

Informao ivos: Dados At

37

Definio:
O National Institute of Standards and Technology (NIST) Computer Security Handbook define o termo Segurana de dados: Proteo a um sistema de informao automatizado, a fim de atingir os objetivos aplicveis de preservar a integridade, disponibilidade e confidencialidade das fontes de informao do sistema (inclui hardware, software, firmware, informaes/dados e de telecomunicaes).

38

Analogia: Proteger Valores

Em computao, busca-se proteger dados, ou seja, criar mecanismos de segurana para um sistema computacional garantido. Analogia:
Bancos pode-se aprender muito com a forma como se protege os objetos de valor.

Exemplo: Tamanho e portabilidade:

Banco: Locais que armazenam dinheiroso grandes e nem todos so portteis com muitos nveis desegurana fsica paraproteger o dinheiro. Sistema: Os dispositivos fsicos em computaopodem serto pequenas quepermite milhares de dlares (sistemas) serem confortavelmente transportados emuma maleta.
39

Analogia: Proteger Valores

Analogia:
Bancos pode-se aprender muito com a forma como se protege os objetos de valor.

Exemplo: Ativos:
Banco: alto Sistema: Varivel (muito alta at muito baixa). Algumas informaes, como histrico mdico, pagamentos de impostos, investimentos, ou formao educacional, confidencial. Outras informaes, sobre as estratgias de vendas, padres de compra, pode ser desprezveis . Ainda outras informaes, como endereo e nmero de telefone, pode ser de nenhuma consequncia e facilmente acessvel por outros meios.
40

Tipo de informao
Pblica informao que pode vir a pblico sem maiores consequncias danosas ao funcionamento normal da empresa; Interna o acesso a esse tipo de informao deve ser evitado, embora as consequncias do uso no autorizado no sejam por demais srias; Confidencial informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, perdas financeiras; Secreta informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero bastante reduzido de pessoas.
41

Os fatores

Falta de conscincia das ameaas e riscos do sistema de informao:

As medidas de segurana muitas vezes no so considerados at que um Empresa invadida por usurios mal-intencionados;

Polticas de rede

Muitos sites permitem acessos sem controle

A grande maioria do trfego da rede no criptografado

O trfego de rede pode ser monitorado e captura

42

Ameaas, vulnerabilidade e controles

Vulnerabilidade

Fraqueza no sistema de segurana que pode ser explorado para causar perda ou dano Exemplo: nenhuma autenticao para acesso aos dados Um conjunto de circunstncias que tem o potencial para causar perda ou dano Riscos: a possibilidade de ameaa de causar danos Uma medida de proteo Uma ao, procedimento, tcnica que remove ou reduz uma vulnerabilidade
43

Ameaa

Controle

Ameaas, vulnerabilidade e controles

Uma parede est segurando a gua. O que pode acontecer com o homem?

Uma ameaa bloqueada pelo controle de vulnerabilidade

44

Ameaas a segurana
Acesso no autorizado: Cpias ilegais de Programas ou escutas Interceptao Interrupo Perda de um arquivo: Destruio de hardware

Modificao No autorizada: Mudana do Banco de dados

Modificao

Criao no autorizada: adiciona um Registro no BD Fabricao

As ameaas pode ser vistas de 4 formas

45

Oportunidades
Um atacante deve ter trs coisas: Mtodo: as competncias, conhecimentos, ferramentas e outras coisas com o qual capaz de obter sucesso no ataque Oportunidade: o tempo e acesso para realizar o ataque Motivo: uma razo para querer executar este ataque contra o sistema (Pense na sigla "MOM".) Negar qualquer uma dessas trs coisas pode permitir que o ataque no ocorrer. No entanto, no fcil control-los Exemplo: Mercado de sistemas (como a Microsoft ou a Apple ou sistemas operacionais Unix) disponibilizam informaes dos aplicativos.
46

Sistema Seguro
Confiabilidade (Secrecy)
A informao somente pode ser acessada por pessoas explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso ao mesmo. A informao deve ser restaurada em sua forma original no momento em que foi armazenada.

Integridade

Disponibilidade

A informao ou sistema de computador deve estar disponvel no momento em que a mesma for necessria;

Desafio: para um sistema seguro necessrio encontrar um certo equilibrio entre esses objetivos, o qual frequentemente conflitante

47

Relao entre os objetivos de segurana

Os 3 objetivos pode ser independente, pode se sobrepor e pode (Confiabilidade) ser multuamente exclusivo

Seguro

Integridade

Disponibilidade
48

Exemplo: Aplicao comercial

Confiabilidade - O empregado no deve saber o salrio do empresrio; Integridade - Um funcionrio no deve ser capaz de modificar o prprio salrio; Disponibilidade - Os pagamentos devero ser emitidos a qualquer momento conforme estipulado por lei

49

Exemplo: Aplicao militar

Confiabilidade - As coordenadas do alvo de um mssil no deve ser indevidamente divulgados Integridade - As coordenadas de um mssil no deve ser modificado indevidamente Disponibilidade - Quando o comando apropriado enviado o mssil deve ser disparado

50

Vulnerabilidades de sistemas computacionais

os ti v A
51

Vulnerabilidades de sistemas computacionais

52

Vulnerabilidades de sistemas computacionais

Software: Confiabilidade uma cpia no autorizada do software realizada Integridade um programa modificado para causar falha durante execuo Disponibilidade programas so apagados, assim como acesso negado.

Dados ??

53

Vulnerabilidades de sistemas computacionais

Hardware Que tipo de ataques podemos ter? Os computadores portteis so mais vulnerveis, porque eles so projetados para serem fceis de transporta Software Pode ser substitudo, alterado, destrudo, modificado, excludo ou extraviado acidentalmente. Se intencional ou no, esses ataques exploram vulnerabilidades do software. Exemplo: Um empregado de um banco percebeu que software trunca o interesse fracionada em cada conta, ou seja, se os juros mensais em uma conta calculada em 14,5467 reais, o software creditava apenas R$ 14,54 e ignorava os 0,0067. (modificou o aplicativo permitindo receber o (0,0067) em sua prpria conta.
54

Crimes computacionais
Amadores
Pessoas normais que descobrem ter acesso a algo valioso Costuma ser principal fonte para crimes computacionais
Crackers =! Hackers

Crackers

Profissionais criminosos

Pessoas que Quebram a segurana de um sistema com objetivos ilegais Profissionais em computao ou grupo envolvidos em crimes computacionais Spam, phishing emails (falso) /websites, blackmail, crimes de carto de crdito, Atualmente, um dos principais fonte de crimes de computao
55

Objetivos de segurana
Polticas de segurana Quais? Mecanismo de segurana (controle) Como? Garantia de Segurana Como assim?

56

Objetivos de segurana
Polticas de segurana Quais?

Taxinomia de ataques incidentes em rede e computadores

57

Polticas de segurana

Poltica da organizao

Poltica de automao de Sistema de informao

Envolvem todos os controles da organizao, manuais e automatizados, que afetam as atividades dos SI!
58

Mecanismo de segurana
Preveno controle de acesso Deteco auditoria e deteco de intrusos Tolerncia prtica

59

Mecanismo de segurana
Mecanismo de segurana implementa funes que ajuda a preveno, deteco e resposta para possveis ataques Preveno fundamental
Deteco busca previnir ameaas de ao punitiva Deteco busca auditar e proteger de alteraes

As vezes a deteco apenas uma opo,

Uso de autorizao de previlegios Modificao de mensagem em uma rede

Funes de segurana so normalmente disponibilizados para os usurios como um conjunto de servios de segurana atravs de APIs ou interfaces integradas Criptografia fundamental para (quase) todos os mecanismos de segurana

60

Criptografia

Mecanismo de segurana (Controles)

Exemplo: Controles de sistemas operacionais

Software de controle Hardware de controle

Exemplo: firewalls

Polticas e procedimentos
Exemplo: requer frequentes mudanas de senha de acesso

Controle fsico
Exemplo: guardas e portas trancadas
61

Eficincia dos controles

Conscincia do problema Probabilidade de uso
Profissionais que usam mecanismos de controle devem estar convicto de sua necessidade para segurana Controles devem ser eficients, fceis de usar e apropriado para o problema Poucos controles so permanentemente eficients Avaliar a eficincia do controel uma tarefa contnua Revises periodicas Combinao de controles para solucionar uma simples vulnerabilidade Camadas de defesa
62

Sobreposio de controles

Garantia da segurana
Com que eficincia o seu mecanismo de segurana garante a poltica determinada? Todos busca ter alta garantia Mas alta garantia implica e elevao de custo
Talvez isso no seja possvel

Escolhas so necessrias

63

Leituras Sugeridas

Stallings, W., Brown, L. Computer Security: Principles and Practice, ed. Prentice Hall, ISBN-13: 9780136004240.

Charles P. Pfleeger and Shari L. Pfleeger. Security in Computing (3 nd edition). Prentice-Hall. 2003. ISBN: 0-13-035548-8.
64

BC-1523 Segurana de Dados

fid en cia l i da de
int r eg

dados e servios

co n

de ida

ISO 27001

disponibilidade

ISO 27002

Questes
1- Diferencie: vulnerabilidade, ameaa e controle. 2-Em relao aos ativos de um sistema computacional podemos categorizar hardware, software, dados, linha de comunicao e redes de computadores. Descreva os elementos em relao aos conceitos de integridade, confiabilidade e disponibilidade. 3-Roubo normalmente resulta em algum tipo de dano. Por exemplo, se algum rouba o seu carro, voc pode sofrer perdas financeiras, inconveniente (por perder o seu modo de transporte), e distrbios emocionais (por causa da invaso de sua propriedade pessoal e espao). Liste trs tipos de danos que uma empresa pode ter de roubo de equipamento informtica. 4-D um exemplo de uma situao em que um compromisso de confiabilidade conduz a um compromisso de integridade. 5Relacione e defina resumidamente as categorias de servio de segurana. 66