Escolar Documentos
Profissional Documentos
Cultura Documentos
fid en cia l i da de
int r eg
dados e servios
co n
de ida
disponibilidade
Roteiro
Apresentao:
Motivao Objetivos Apresentao Programa Avaliao Cronograma Regras de comportamento
Apresentao da disciplina
Motivao
Ataques na Internet tem sido cada vez mais frequentes e sofisticados => quantidade de estratgia e conhecimento requerido tem decaido.
Motivao
to no umen um a endo ocorr taques??? est de a rque Po mero n
Aumento na complexidade: Protocolos; Aplicaes Internet
5
Motivao
Estimativa de prejuizo causado por vrios tipos de ataques devido a baixa segurana dos sistemas computacionais.
Objetivo Geral
Viso geral sobre segurana, para que o aluno saiba como prevenir, defender e resolver incidentes de segurana
Do ponto de vista de um profissional de segurana
Objetivos Especficos
Compreender os principais vulnerabilidades de segurana; riscos e
Conhecer as normas, procedimentos e polticas para gerenciamento de segurana da informao; Conhecer os principais aplicativos relacionados com segurana; Conhecer os principais problemas e solues no desenvolvimento de aplicaes seguras; Utilizar ferramentas de segurana de dados.
8
Objetivos Especficos
Explorar conceitos bsicos, princpios mecanismos de segurana de dados. Conceitos bsicos de segurana Criptografia Autenticao Controle de acesso IPsec Firewall e
Ementa
Introduo e Motivao
Polticas e normas de segurana da informao
Firewalls, proxies e NATs (middleboxes) Ferramentas de log e auditoria Deteco de vulnerabilidades Segurana no Desenvolvimento de Aplicaes Demonstrao e prticas com ferramentas de segurana.
10
Metodologia
Aulas expositivas e demonstrativas (professor)
Apresentaes com PowerPoint e quadro Demonstraes de softwares Apresentao de sites
Seminrio (alunos)
Tema relacionado a segurana
Pesquisa constante
Pesquisa de livros, sites, tcnicas, ferramentas, incidentes, etc. Preparao de resumos Discusso em aula
11
Crditos
Cada disciplina na UFABC representada por trs algarismos: T P I. Para a disciplina BC-1523, temos: T: 3h - Nmero de horas semanais de aulas expositivas presenciais da disciplina (Tericas); P: 1h Nmero de horas semanais de trabalho de laboratrio, aulas prticas ou de aulas de exerccios, realizadas em sala de aula (Prticas); I: 4h - Estimativa de horas semanais adicionais de trabalho necessrias para o bom aproveitamento da disciplina (estudos e trabalhos Individuais).
12
Conceitos
A: desempenho excepcional, demonstrando excelente
compreenso da disciplina B: bom desempenho, demonstrando capacidade boa de uso dos conceitos da disciplina C: desempenho adequado, demonstrando capacidade de uso dos conceitos da disciplina e capacidade para seguir em estudos mais avanados D: aproveitamento mnimo dos conceitos da disciplina, com familiaridade parcial do assunto, mas demonstrando deficincias que exigem trabalho adicional para prosseguir em estudos avanados
13
Conceitos
F: reprovado. A disciplina deve ser cursada novamente para
a obteno de crdito
O: reprovado por falta. A disciplina deve ser cursada novamente para a obteno de crdito I: incompleto. Indica que uma pequena requerimentos do curso precisa ser completada parte dos
Regras de comportamento
o Os alunos sero considerados adultos: o Entrar e sair da sala freqentemente no permitido o Chegar no final da aula desencorajado o Manifestaes excessivamente efusivas (barulhentas) sobre assuntos no pertinentes aula so dispensadas o Durante as explicaes recomenda-se o silncio o Espera-se iniciativa e responsabilidade na execuo das tarefas o Espero dedicao a disciplina
15
Regras de comportamento
Uso do Laboratrio:
16
Horrios
Aulas: BLOCO B
Quinta-feira: 21-23 h L604 (Bloco B)
Diviso
Terica: 3 horas Prtica: 1 horas Laboratrio: Sala 409-2 (Bloco A Torre CMCC) Tera-feira: 19-21 h ATENO: Existem horrios disponveis para eventuais reposies?
17
Avaliaes
1. Provas 2. Seminrio 3. Aula prtica Relatrio Tcnico 4. Mini-atividades
Resumos e discusses em aula Mini-testes Prticas Avaliao subjetiva (Presena em aula e Participao em aula)
18
Avaliaes
Prova substitutiva
Engloba todos os itens do programa da disciplina S para quem perdeu uma prova
Relatrio de Atividades em Laboratrio Seminrios: Os tpicos sero tratados nos prximos slides (Peso = 30%)
Critrios de avaliao
Relatrios e atividades
Ser permitido uma definio da equipe de trabalho (mximo 02 alunos). Colaborao: Voc pode discutir as atividades com outros colegas. Porm, os cdigos ou documentos devem ser de autoria prpria. Cpia de cdigo ou documento de outros estudantes no sero tolerados. Os relatrios que apresentarem sinais de cpia de trabalhos de outros alunos, independente de tratarem-se do original ou da cpia (Conceito F).
20
Critrios de avaliao
Relatrios e atividades:
Modelo: disponvel na Aba da disciplina aula 00 modelos de documentos. Atraso na submisso: Uma atividade ou relatrio submetido: em at 24 horas aps a data de entrega ser decrementado um conceito, aps 48 horas da data de entrega no ser mais aceito e ser atribudo o conceito F.
21
Critrios de avaliao
Seminrio:
Quando tratar-se de seminrios o trabalho dever ser entregue seguindo o modelo (obedecendo s normas da metodologia cientfica). A apresentao (slide) dever ser entregue na forma digital juntamente com trabalho escrito (artigo). S sero aceitos os trabalhos na data prevista. Ser permitido a definio da equipe de trabalho (mximo 03 alunos). Os modelos esto disponveis no tidia-ae
22
Critrios de avaliao
Seminrio:
Os seminrios devero ser divididos entre os alunos de cada grupo; Os temas de seminrio sero fornecidos pelo professor; Todos os membros devem apresentar uma parte do trabalho:
O conceito final para cada estudante do grupo de seminrio em grupo poder ser diferente; Durao minma: 50 minutos; Lembre-se o conceito final dessa etapa composto do documento e apresentao. Lembre-se esse material ser utilizados por todos para a segunda avaliao.
23
Seminrio
Tpicos:
Algoritmos de criptografia: 1 - Criptografia de chave pblica (G1) 2 - Funo hash (G2) Data 29/03 Segurana em Banco de Dados (G3): Requisitos de segurana, controle de acesso e autenticao Criptografia em Banco de dados Data: 05/04
24
Seminrio
Tpicos:
Segurana em Sistemas Operacionais (G4): Mtodos de proteo, Proteo de memria e endereamento Controle de acesso Mecanismo de proteo de arquivos Autenticao e Sistema confivel Data: 05/04 Linux e Windows (G5) Modelo de segurana ou arquitetura Vulnerabilidade, Segurana em arquivos Controle de acesso, Servio de criptografia Data: 12/04
25
Seminrio
Tpicos:
Segurana em redes (G6): Email PGP S/MINE Arquitetura SSL Segurana na camada de transporte IPsec IKE (Internet Key Exchange) Data: 12/04
26
Cronograma (preliminar)
Semana 1 2 Tera-feita
Quinta -feira
dados / criptografia 16/02 - Criptografia
07/02 - Apresentao e introduo 09/02 Introduo a segurana de a segurana de dados 14/02 Vulnerabilidade de programas - Prtica1: Vulnerabilidade Set-UID
3 4
5 6 7
06/03 Redes- Prtica3: Sniffer 13/03 Programao segura 20/03 - Programao segura Pratica4: Buffer overflow
27
Cronograma (preliminar)
Seman a 8 9 27/03 Redes de computadores e Firewall - Redes/vpn 03/04 Gerenciamento baseado em politicas 10 10/04 - Redes: varredura de portas Pratica5: nmap 11 17/04 Linux -firewall Laboratorio6: Iptable 12 13 24/04 Softwares maliciosos 03/05 - Prova - Sub
28
12/04- Seminrios G5 e G6
Referncias bsicas:
Stallings, W., Brown, L. Computer Security: Principles and Practice, ed. Prentice Hall, ISBN-13: 9780136004240 Stallings, W. Criptografia e segurana de redes Princpios e Prticas, 4 edio, ed Prentice Hall - ISBN 8576051192
29
Referncia complementar:
Charlie Kaufman, Radia Perlman, and Mike Speciner, Network Security: Private Communication in a Public World, 2nd Edition, Prentice Hall, ISBN: 0-13-046019-2. Charles P. Pfleeger and Shari L. Pfleeger. Security in Computing (3 nd edition). PrenticeHall. 2003. ISBN: 0-13-035548-8.
30
http://csrc.nist.gov/
http://www.first.org/ http://isc.sans.org/
http://www.intrusions.org/
http://www.cais.rnp.br/
Centro de Atendimento de Incidentes de Segurana da RNP
http://www.cert.br/
CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
32
Referncias: Ferramentas
http://www.wireshark.com/ http://nmap.org
Nmap Security Scanner Nessus: The Network Vulnerability Scanner Snort: Network Intrusion Prevention and Detection System (IDS/IPS) iptables: configuration of packet filter rules (firewall) John the Ripper password cracker GNU Privacy Guard; encrypt and sign data and communication
33
http://www.nessus.org http://www.snort.org
Ferramenta: Laboratrio
Laboratrio do projeto SEED Este laboratrio foi desenvolvido no projeto SEED da Universidade de Syracuse com o apoio da National Science Foundation (NSF). O objetivo do projeto SEED desenvolver um ambiente de laboratrio e exerccios para o ensino de segurana dos dados em sistemas computacionais. Os experimentos de laboratrio foram fornecidos pelo Dr. Wenliang Du da Universidade de Syracuse.
34
Ferramenta: Laboratrio
Cadastro no sistema tidia-ae: http://ae.ufabc.edu.br Vmware: Verificar e instalar o vmware player para execuo da mquina virtual SEED Mquina virtual disponvel com o professor ou direto pelo site do Vmware: http://www.vmware.com/products/player/. No Linux: sudo sh VMware-Player-4.0.0-471780.x86_64.bundle
35
36
37
Definio:
O National Institute of Standards and Technology (NIST) Computer Security Handbook define o termo Segurana de dados: Proteo a um sistema de informao automatizado, a fim de atingir os objetivos aplicveis de preservar a integridade, disponibilidade e confidencialidade das fontes de informao do sistema (inclui hardware, software, firmware, informaes/dados e de telecomunicaes).
38
Exemplo: Ativos:
Banco: alto Sistema: Varivel (muito alta at muito baixa). Algumas informaes, como histrico mdico, pagamentos de impostos, investimentos, ou formao educacional, confidencial. Outras informaes, sobre as estratgias de vendas, padres de compra, pode ser desprezveis . Ainda outras informaes, como endereo e nmero de telefone, pode ser de nenhuma consequncia e facilmente acessvel por outros meios.
40
Tipo de informao
Pblica informao que pode vir a pblico sem maiores consequncias danosas ao funcionamento normal da empresa; Interna o acesso a esse tipo de informao deve ser evitado, embora as consequncias do uso no autorizado no sejam por demais srias; Confidencial informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, perdas financeiras; Secreta informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero bastante reduzido de pessoas.
41
Os fatores
As medidas de segurana muitas vezes no so considerados at que um Empresa invadida por usurios mal-intencionados;
Polticas de rede
42
Vulnerabilidade
Fraqueza no sistema de segurana que pode ser explorado para causar perda ou dano Exemplo: nenhuma autenticao para acesso aos dados Um conjunto de circunstncias que tem o potencial para causar perda ou dano Riscos: a possibilidade de ameaa de causar danos Uma medida de proteo Uma ao, procedimento, tcnica que remove ou reduz uma vulnerabilidade
43
Ameaa
Controle
Uma parede est segurando a gua. O que pode acontecer com o homem?
44
Ameaas a segurana
Acesso no autorizado: Cpias ilegais de Programas ou escutas Interceptao Interrupo Perda de um arquivo: Destruio de hardware
Modificao
Oportunidades
Um atacante deve ter trs coisas: Mtodo: as competncias, conhecimentos, ferramentas e outras coisas com o qual capaz de obter sucesso no ataque Oportunidade: o tempo e acesso para realizar o ataque Motivo: uma razo para querer executar este ataque contra o sistema (Pense na sigla "MOM".) Negar qualquer uma dessas trs coisas pode permitir que o ataque no ocorrer. No entanto, no fcil control-los Exemplo: Mercado de sistemas (como a Microsoft ou a Apple ou sistemas operacionais Unix) disponibilizam informaes dos aplicativos.
46
Sistema Seguro
Confiabilidade (Secrecy)
A informao somente pode ser acessada por pessoas explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso ao mesmo. A informao deve ser restaurada em sua forma original no momento em que foi armazenada.
Integridade
Disponibilidade
A informao ou sistema de computador deve estar disponvel no momento em que a mesma for necessria;
Desafio: para um sistema seguro necessrio encontrar um certo equilibrio entre esses objetivos, o qual frequentemente conflitante
47
Seguro
Integridade
Disponibilidade
48
49
50
os ti v A
51
52
Dados ??
53
Crimes computacionais
Amadores
Pessoas normais que descobrem ter acesso a algo valioso Costuma ser principal fonte para crimes computacionais
Crackers =! Hackers
Crackers
Profissionais criminosos
Pessoas que Quebram a segurana de um sistema com objetivos ilegais Profissionais em computao ou grupo envolvidos em crimes computacionais Spam, phishing emails (falso) /websites, blackmail, crimes de carto de crdito, Atualmente, um dos principais fonte de crimes de computao
55
Objetivos de segurana
Polticas de segurana Quais? Mecanismo de segurana (controle) Como? Garantia de Segurana Como assim?
56
Objetivos de segurana
Polticas de segurana Quais?
Polticas de segurana
Poltica da organizao
Envolvem todos os controles da organizao, manuais e automatizados, que afetam as atividades dos SI!
58
Mecanismo de segurana
Preveno controle de acesso Deteco auditoria e deteco de intrusos Tolerncia prtica
59
Mecanismo de segurana
Mecanismo de segurana implementa funes que ajuda a preveno, deteco e resposta para possveis ataques Preveno fundamental
Deteco busca previnir ameaas de ao punitiva Deteco busca auditar e proteger de alteraes
Funes de segurana so normalmente disponibilizados para os usurios como um conjunto de servios de segurana atravs de APIs ou interfaces integradas Criptografia fundamental para (quase) todos os mecanismos de segurana
60
Criptografia
Polticas e procedimentos
Exemplo: requer frequentes mudanas de senha de acesso
Controle fsico
Exemplo: guardas e portas trancadas
61
Sobreposio de controles
Garantia da segurana
Com que eficincia o seu mecanismo de segurana garante a poltica determinada? Todos busca ter alta garantia Mas alta garantia implica e elevao de custo
Talvez isso no seja possvel
Escolhas so necessrias
63
Leituras Sugeridas
Stallings, W., Brown, L. Computer Security: Principles and Practice, ed. Prentice Hall, ISBN-13: 9780136004240.
Charles P. Pfleeger and Shari L. Pfleeger. Security in Computing (3 nd edition). Prentice-Hall. 2003. ISBN: 0-13-035548-8.
64
dados e servios
co n
de ida
ISO 27001
disponibilidade
ISO 27002
Questes
1- Diferencie: vulnerabilidade, ameaa e controle. 2-Em relao aos ativos de um sistema computacional podemos categorizar hardware, software, dados, linha de comunicao e redes de computadores. Descreva os elementos em relao aos conceitos de integridade, confiabilidade e disponibilidade. 3-Roubo normalmente resulta em algum tipo de dano. Por exemplo, se algum rouba o seu carro, voc pode sofrer perdas financeiras, inconveniente (por perder o seu modo de transporte), e distrbios emocionais (por causa da invaso de sua propriedade pessoal e espao). Liste trs tipos de danos que uma empresa pode ter de roubo de equipamento informtica. 4-D um exemplo de uma situao em que um compromisso de confiabilidade conduz a um compromisso de integridade. 5Relacione e defina resumidamente as categorias de servio de segurana. 66