Planejamento Estratgico para Segurana Computacional na USP Terminologia

Definies:
Bot Programa que, alm de incluir funcionalidades de worms, sendo capaz de se propagar automaticamente atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador, dispe de mecanismos de comunicao com o invasor, permitindo que o programa seja controlado remotamente. O invasor, ao se comunicar com o bot, pode orient-lo a desferir ataques contra outros computadores, furtar dados, enviar spam, etc. (fonte: www.antispam.br). CAIS O CAIS Centro de Atendimento a Incidentes de Segurana atua na deteco, resoluo e preveno de incidentes de segurana na rede acadmica brasileira, alm de elaborar, promover e disseminar prticas de segurana em redes (fonte: www.rnp.br). CERT.br O CERT.br, anteriormente denominado NBSO/Brazilian CERT, o Grupo de Resposta a Incidentes para a Internet brasileira, mantido pelo Comit Gestor da Internet no Brasil, responsvel por receber, analisar e responder a incidentes de segurana em computadores, envolvendo redes conectadas Internet brasileira. (fonte: www.cert.br). CSIRT Um grupo ou organizao que prove servios e suporte para um pblico bem definido, para preveno, tratamento e resposta a Incidentes de Segurana. (fonte: www.cert.br). Honeypot Honeypots, que em ingls significa potes de mel, so ambientes especialmente preparados para atrair atacantes de sistemas e, dessa forma, poder estudar seu comportamento e ajudar a combater os ataques. Por causa disso, todo trfego direcionado a honeypots potencialmente malicioso. (fonte: www.honeynet.org.br). Infranet Tipo de arquitetura usada em projetos na Internet, partindo da definio de um servio a ser oferecido e chegando-se aos componentes bsicos, de maneira top-down (usualmente nos projetos parte-se de componentes pr-definidos e se cria um servio a partir desses componentes, de forma bottom-up). Scan Tcnica normalmente implementada por um tipo de programa, projetado para efetuar varreduras em redes de computadores, com o intuito de identificar quais computadores esto ativos e quais servios esto sendo disponibilizados por eles. Amplamente utilizado

por atacantes para identificar potenciais alvos, pois permite associar possveis vulnerabilidades aos servios habilitados em um computador (AntiSpamBR, 2007). SLA (Service Level Agreement) Acordo formal entre duas partes que estabelece os nveis mnimos mensurveis de servio que normalmente sero fornecidos por uma dessas partes, conhecida como provedor, outra parte, conhecida como cliente ou usurio. O no cumprimento desses nveis mnimos acordados implica em penalidades para o provedor. Spam E-mails no solicitados, enviados a um grande nmero de pessoas, geralmente sem o consentimento destas. Vrus Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco (AntiSpamBR, 2007) Worm Programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. (AntiSpamBR, 2007).

1. Introduo
Esse documento apresenta o Plano Estratgico em Segurana Computacional para Universidade de So Paulo, abrangendo o perodo de 2006-2009. Foi desenvolvido pelo Grupo Assessor de Segurana Computacional (GPA-Sec), criado pela Coordenadoria de Tecnologia de Informao (CTI) com esta finalidade. Seu objetivo definir um plano de atividades que permita implementar e obter melhorias consistentes na percepo interna e externa sobre a segurana no uso dos recursos computacionais providos pela Universidade sua comunidade. O termo segurana computacional abstrai a avaliao de risco que a comunidade da USP possui sobre a possibilidade de reduo ou aumento no valor de alguns de seus bens como decorrncia da utilizao dos meios eletrnicos de armazenamento, processamento e comunicao para acesso s informaes, sejam essas informaes produzidas pela comunidade USP ou por entidades externas USP. Entre os bens a preservar destacamos a reputao da Universidade, como patrimnio mais precioso, que pode ser afetada de diversas formas, dependendo da natureza do risco considerado. Este risco abrange um dos seguintes aspectos: - Confidencialidade: toda informao mantida em equipamentos sob responsabilidade da USP s pode ser acessada por pessoas formalmente identificadas e autorizadas. Comunicaes de/para a USP envolvendo ou no pessoas e entidades externas USP s podem ser conhecidas pelos pares autorizados, no podendo ser recuperada por terceiros durante seu trnsito, sem expressa autorizao das partes. - Integridade: toda a informao trocada de/para a USP deve manter seu contedo inalterado desde o momento que deixa a origem at chegar ao seu destino, independente dos recursos utilizados na comunicao (ex: meio fsico). - Autenticidade: a origem e o destino das mensagens deve pertencer a autores legitimamente identificados nos sistemas de origem e destino. - Disponibilidade: o acesso informao deve ser possvel para o conjunto da comunidade USP autorizada, a qualquer tempo e sem degradao no desempenho. - Contabilidade: toda informao com origem ou destino em sistema provido pela USP, ou que trafega utilizando-se de infra-estrutura de comunicao da USP, estar sujeita a auditoria para identificao de seus autores, tempo e meios utilizados, durante um perodo definido em lei. O objetivo desta Comisso sugerir maneiras para minimizar esses diversos aspectos dos riscos, para que a Universidade seja capaz de cumprir sua misso em educao, pesquisa e extenso, mesmo nas circunstncias mais adversas e inesperadas. Tais circunstncias foram identificadas analisando-se a misso e as competncias nicas da USP para a Segurana Computacional e estabelecendo escrutnios internos e externos que apontam os pontos fortes e fracos dos gestores de segurana em TI na USP e analisando as ameaas e oportunidades oferecidas pelo mercado em TI, do qual a USP participante. Os planos de ao resultantes visam explorar as competncias nicas e desenvolver novas competncias; superar os pontos fracos; explorar os pontos fortes; combater as ameaas do ambiente externo e aproveitar as oportunidades que venham a ser oferecidas pelo mercado, seguindo a metodologia proposta por Hax e Majluf [5].

1.1. Misso
Considerado o escopo de segurana que se deseja tratar, prope-se como misso para o grupo assessor em segurana: Sugerir estruturas, padres, processos e recursos, para que a USP atinja iguais nveis de segurana em TI, iguais ou superiores s instituies de mesma dimenso, estrutura e escopo de atuao. Para conseguir cumprir sua misso entende-se como necessrio que esse grupo atue de forma permanente tendo, entre os seus representantes, pessoas com as seguintes competncias nicas na USP, na rea de segurana computacional: Conhecimento da comunidade USP alunos, docentes e funcionrios - e dos papis e competncias disponveis nos Centros de Informtica e nas Unidades USP, suas caractersticas e formas de interao. Conhecimento e relacionamento com os agentes de mercado (ex: provedores de servio, fornecedores de equipamentos) na rea de segurana computacional. Conhecimento tcnico-jurdico relacionado a assuntos de segurana computacional. Experincia nos procedimentos administrativos da USP.

1.2. Objetivos e Metas

objetivo deste grupo assessor: Definir um plano de aes para melhoria continuada em segurana computacional, com os investimentos dimensionados para sua execuo ao longo dos prximos 3 anos trinio 2007-2008-2009. Metas para consecuo dos objetivos propostos: Efetuar um diagnstico da segurana na USP, levantando os pontos fracos e fortes, por rea de segurana (NBR17799, 2007). Avaliar a segurana de algumas instituies de ensino com boa reputao em segurana, por rea de atuao. Prospectar oportunidades e investigar ameaas. Definir o nvel de segurana atual e o desejado, por rea por rea de atuao (acadmico e administrativo). Propor os elementos constituintes bsicos de uma Poltica de Segurana referencial que oferea respaldo nas aes e tomada de deciso relativas segurana, para grupos responsveis na USP. Indicar estruturas e procedimentos para proteger o patrimnio USP dependente de recursos computacionais. Recomendar formas para capacitar os profissionais de TI.

1.3. Escopo e Metodologia

Como conceito, a Segurana Computacional pode ser entendida sob a gide da Norma NBR 17799 (NBR17799, 2007), que abrange os seguintes aspectos de segurana: 1. 2. 3. 4. 5. 6. 7. 8. 9. Poltica de segurana Organizao da segurana Controle e classificao de ativos computacionais Gesto de pessoas e seus papis em segurana computacional Segurana ambiental e fsica Gerenciamento fsico e de comunicao Controle de acesso aos sistemas computacionais Manuteno e desenvolvimento de sistemas Gerenciamento da continuidade de negcios

No presente relatrio sero elaboradas recomendaes que permeiam vrios (porm no todos) aspectos da NBR 17799 relacionadas s infra-estruturas de uso compartilhado, no suporte s atividades de educao, pesquisa e extenso. A melhoria da segurana nestas atividades pode ser viabilizada atravs: aes sobre a tecnologia que manipulada diretamente pelo aluno, professor ou pelo pesquisador. Essas aes podem ser na forma de aquisio pela USP de equipamentos intrinsecamente mais seguros, campanhas de conscientizao para uso seguro dos recursos computacionais, treinamento dos administradores e elaborao normas e polticas para utilizao desses reucursos; aes indiretas sobre o usurio, implicando as estruturas de TI voltadas para administrao dos quadros discente, docente e de todas as atividades que permeiam a operao e funcionamento da Universidade. Inclumos, por exemplo, nesta categoria a segurana de rede de dados e a segurana da guarda dos registros computacionais utilizadas no dia-a-dia, para as atividades administrativas ou para troca de mensagens (e-mail). No que tange ao gerenciamento da continuidade de negcios (item 9) a segurana que ser tratada neste relatrio vale tanto para o suporte das atividades administrativas como para suporte das atividades acadmicas e receber a designao neste relatrio de Segurana de Rede, como o conjunto de atividades que apresenta vulnerabilidades de segurana pelo uso dos computadores conectados rede de dados (USPnet) e/ou na Internet. Neste item se far tambm a apreciao da segurana na rede sem fio (wireless) como est constituda atualmente, devido crescente importncia que esta tecnologia desempenha no cenrio de usurios da USPnet. Em relao aos mecanismos capazes de garantir a integridade e a disponibilidade dos sistemas centralizados, sero recomendadas infra-estruturas confiveis (ou resilientes) para o suporte desses sistemas, tais que permitam oper-los sem descontinuidade ou com mnimo tempo de interrupo (zero downtime). Esta abordagem ser categorizada no

relatrio como Contingncia de Sistemas e Segurana de Aplicaes e dever contribuir para a continuidade de negcios (item 8 acima). Nos itens Segurana de Rede e Contingncia de Sistemas ser proposta a aquisio de equipamentos ou sistemas para melhoria da segurana. Tais equipamentos so necessrios porm no so suficientes para a garantia de segurana, que ir necessitar de procedimentos e mtricas em segurana para possibilitar aos administradores acompanharem a evoluo da segurana em seus sistemas. A figura 2 ilustra genericamente o processo de implantao e monitorao da segurana, continuado e cclico, conforme recomendado pela NBR17799. Neste relatrio ser mostrado, sempre que possvel, como os componentes desse ciclo podem ser implementados ou melhorados atravs dos planos de ao que sero propostos. Tambm sero sugeridas mtricas (que levam medio do SLA em segurana) para monitorao do estado de segurana e que podem ser adotadas pelos administradores, em cada Unidade. A segurana para o desenvolvimento e manuteno dos sistemas (item 9) no ser abordada neste relatrio pois no h nenhuma ao especfica que cabe Comisso recomendar alm da que est na NBR17799. No entanto esta Comisso ir se preocupar em recomendar ferramentas que permitam identificar vulnerabilidades no desenvolvimento de sistemas, particularmente em cdigos voltados para interfaces com a Web.

Requisitos de segurana, de acordo com o plano de negcios da USP ou Poltica de Segurana institucional (CTI)
REPORTAR: Conformidade do SLA medido Processos para Segurana Computacional: (Centros de Informtica, Sees de Informtica das Unidades) MANTER: Aprender Melhorar planejamento Melhorar implementao

Definio do SLA

Equipe de Segurana

AVALIAR: Auditorias Internas Auditorias Externas Auto-Avaliao Incidentes de Segurana

CONTROLAR: Organizar-se Definir o esquema geral de gerenciamento Alocar responsabilidades

PLANEJAR: Acordo sobre nvel de servio (SLA) Contratos de fornecedores de servios Acordos de nvel operacional (OLA)

IMPLEMENTAR: Conscientizar Classificar e registrar ativos Segurana de pessoal (RH) Segurana fsica Segurana de ativos de TI Controle, gerenciamento de direitos de acesso Registro e tratamento de incidentes

Fig. 1 Framework para gerenciamento de segurana na USP

Para diagnstico sobre o nvel de segurana em que se encontra a USP atualmente (item Auto-Avaliao da caixa Avaliar, na Fig. 1) foram utilizados mtodos diretos e indiretos. Os mtodos diretos baseiam-se em estatsticas obtidas por monitorao no uso dos recursos computacionais da USPnet, especialmente em relao ao registro de incidentes de segurana, feitas pela equipe de segurana da USP (CSIRT-USP) ou pelas pesquisas nos stios de blacklists e monitorao de segurana na Internet. O mtodo indireto considera levantamentos feitos atravs de pesquisa junto comunidade de administradores de informtica da USP (Anexo I). Estas pesquisas, embora opinativas, so suficientemente detalhadas para permitir confrontar as estatsticas construdas atravs dos mtodos diretos e elaborar explicaes presumivelmente consistentes. Para a definio do SLA e retorno de valores de SLA para segurana, o Anexo V traz um conjunto de mtricas que podero ser adotadas pelos administradores responsveis, gerentes e tcnicos envolvidos em aes de segurana.

2. Escrutnio Interno
Identificam-se como principais agentes no ambiente Interno :

CTI, Centros de Informtica (CCE, CISC, CIAGRI, CIRP), Unidades de Ensino e Pesquisa, Unidades de Extenso (CECAE, CCS, etc) e seus apndices (ex: Estao Cincia), Unidades Externas afiliadas (IPEN, Butant, Fuvest, IPT, etc).

2.1. Pontos fortes computacional

para

gesto

da

segurana

Foram identificados, pelo grupo assessor em segurana, os seguintes pontos fortes para os servios prestados na USP e para o ambiente de infra-estrutura de execuo desses servios: o o o o o o o Grande variedade de mecanismos para divulgao de informaes que esto disposio da comunidade. Parque computacional relativamente renovado. Capacitao tcnica da maioria dos gestores dos CIs. Tema segurana como prioridade na pauta da gesto de TI da USP. Relativa conscientizao da comunidade para a importncia do tema segurana no dia-a-dia. Possibilidade de envolver alunos nas aes relacionadas segurana computacional na USP. Possibilidade de envolver formalmente a CJ no processo da gesto de segurana em TI obtendo com isso respaldo jurdico quando necessrio (em aes de natureza criminal, pelo uso de recursos indevidos licenas de software , por envolvimento dos recursos da infra-estrutura da Universidade em aes indevidas, nas relaes institucionais envolvendo agentes de segurana externos Polcias Federal e Estadual).

2.2. Pontos fracos computacional

para

gesto

da

segurana

Como pontos fracos em rea de segurana computacional na USP foram identificados, pela comisso GPA-Sec, os fatores abaixo: o o o o o o o Falta de uma poltica mnima (baseline) para segurana (o que existe ad hoc). Grande variedade de mecanismos para divulgao de informaes que esto disposio da comunidade. Servidores/Desktops mal protegidos/desatualizados, mal vistoriados, sem auditoria, sub utilizado ou super dimensionado. Mquinas conectadas rede USPnet mal configuradas e administradas, sem atualizao ou ant-virus. Inexistncia de mecanismos de autenticao para uso da rede. As novas regras do DRH para contratao de pessoal tcnico dificultam boas escolhas (no possvel efetuar entrevistas, etc). Provas seletivas na admisso dos funcionrios precisam melhorar e incluir contedo de segurana.

Falta de atribuio de responsabilidades formais e claras na utilizao dos recursos. o Falta de suporte jurdico pela USP nas aes relacionada segurana computacional. o Fraco controle sobre identidade e papis dos usurios da USPnet. o Relativa falta de controle sobre grupos de poder nas unidades dificulta a adoo de normas. o Falta de regras de utilizao e de penalidades claramente definidas e conhecidas por toda a comunidade. o Inexistncia de mecanismos de autenticao para uso da rede. o Falta de incentivo e recursos para aperfeioamento tcnico. o Gerenciamento descentralizado da operao de TI na USP. o Heterogeneidades das necessidades e conhecimento dos usurios e tcnicos a diversidade de ambientes e comunidade usuria requer uma capacitao muito especfica e abrangente da equipe de suporte tcnico. o Heterogeneidades e obsolescncia em parte das redes nas Unidades o Suporte insuficiente em parte das unidades. o Dificuldade de divulgao e comunicao de regras e polticas de uso. o

2.3. Diagnstico Interno 2.3.1. Avaliao da Comunidade

Para avaliar o grau de maturidade em segurana computacional na USP decidiu-se, numa primeira abordagem, investigar junto comunidade de administradores de rede da USP, solicitando uma auto-avaliao dirigida. Esta avaliao foi baseada em metodologia disponvel em Educause [2] e contempla 3 aspectos relacionados segurana: 1. Recursos Humanos (questionrio Q1): 13 questes relacionadas gesto de pessoas 2. Processos (questionrio Q2) : 44 questes abordando temas relacionados estratgias, procedimentos utilizados, polticas, controles lgicos e fsicos 3. Tecnologias (questionrio Q3): 17 questes sobre usos de tecnologia Cada questo compreendia notas de 0 (no executado) a 4 (concludo), passando por estgios intermedirios (em planejamento, parcialmente executado, quase concludo). O formulrio foi postado na lista dos gestores da USPnet (geinfou-l) e obteve resposta de vinte (20) Unidades, representando 40% da comunidade, suficientes para uma anlise estatstica, dada a diversidade de competncias das Unidades que responderam. Portanto, cada questo poderia pontuar no valor mximo de 80, consideradas todas as respostas. No conceito de Pessoas, o relatrio aponta mdias menores de 48% sobre a existncia de responsveis formais pelas questes de segurana nas Unidades, nmero que pode ser considerado baixo se entendermos que para qualquer ao efetiva necessria a existncia de algum que a execute. No obstante, este um dos maiores ndices entre as respostas fornecidas. A pesquisa indica tambm que menos de 16% dos superiores hierrquicos tm qualquer tipo de envolvimento em questes relacionadas a segurana

computacional, sinalizando para uma baixa priorizao deste tpico no conjunto das atividades de informtica das Unidades. No conceito Processos, menos de 26% das respostas apontam a existncia de polticas relacionadas segurana computacional nas Unidades, incluindo-se a avaliao de impacto que mudanas tecnolgicas podem causar (gesto de riscos). H uma prevalncia de atitudes reativas aos problemas relacionados segurana, seja pela correo imediata das causas das falhas de segurana controle do uso aceitvel dos computadores, e-mail, da Internet e da Intranet, gerncia de vulnerabilidade (gerncia de patches e software do antivrus) ou para planejamento de contingncia, que ficaram com mdias menores que 43%. As melhores mdias ficaram com o inventrio de equipamentos, apontando que 65% das Unidades conhecem o parque computacional que administra. No entanto, menos de 10% dos respondentes mantm praticas para medio do nvel de segurana existente, no sendo capazes, portanto, de identificar se esto melhorando ou piorando neste aspecto. O conceito de Tecnologias foi o que alcanou melhores mdias, chegando-se a mdias de 70% porque aqui onde possvel lidar-se objetivamente e com elementos concretos, como servidores e roteadores notando que auditorias e varreduras so realizadas rotineiramente e at elementos de relativa complexidade como firewalls e sistemas para deteco de intruso tm boa pontuao. A Fig. 2 mostra o resultado da pontuao obtida em cada um dos conceitos; identificando as maiores e menores pontuaes por conceito. Fica claro que em Procedimentos e Estratgias onde se encontram as menores mdias mximas e mnimas e, inversamente, em Tecnologias onde se encontram as maiores pontuaes. Isso porque fica mais difcil atuar otimizando processos e ainda mais difcil quando as regras no esto claras.

Conceitos melhor ou deficientemente implementados

0,8 0,6 0,4 0,2

Seg Fis/Log

Pessoas Estratgias Procedimentos Politicas Seg Fis/Log Tecnologias

0 1 2 3 4 5 6 7

Procedimentos Pessoas

Fig. 2 Conceitos pontuados na auto-avaliao

10

A pesquisa comunidade, embora embuta uma percepo de senso comum dos administradores, envolve sempre algum grau de subjetividade que pode ser influenciada por fatores de momento ou circunstncias especficas. Para identificar essas circunstncias foi conduzida outra investigao, desta vez utilizando dados de registro de incidentes de segurana de rede e informaes sobre as estruturas de TI disponveis nas unidades, a partir das bases de dados disponveis na CODAGE (Coordenadoria de Administrao Geral) que informam o nmero de equipamentos (microcomputadores e servidores) e o nmero de pessoas tcnicas (analistas e tcnicos) que fazem a sua manuteno. Estes dados foram correlacionados ao nmero de incidentes de segurana registrados no CSIRT-USP (grupo de respostas a incidentes da USP) por Unidade. O grfico da Fig. 3 considera o total de incidentes a partir do ano de 2003, para todas as Unidades USP (Anexo V) e relaciona a proporo do nmero de incidentes de segurana por tcnico na Unidade com o nmero de incidentes por quantidade de equipamentos na Unidade. Pontos prximos da origem e prximos de uma linha de inclinao unitria representam Unidades que possuem processos razoavelmente bem conduzidos, com baixo nmero de incidentes, e com distribuio equilibrada em nmero de mquinas e de pessoas. De pronto consegue-se identificar alguns pontos destoantes (outliers): A coordenada (2,2;11,0) mostra uma situao de uma unidade com poucas maquinas e muitos incidentes. Neste caso apenas, o baixo nmero de pessoas no suficiente para explicar a proporo do nmero de incidentes, e fatores adicionais devem ser procurados. Alguns desses fatores encontram-se descritos no item 6.3 (Pontos Fracos). A coordenada (0,97; 260) mostra uma situao de clara insuficincia no nmero de pessoas na Unidade, que se traduz em grande nmero de incidentes. Os pontos entre as abscissas 0,5 e 1,0 tambm encontram explicaes baseadas no no balanceamentos de pessoas, processos ou tecnologias. Eliminando-se esses pontos do grfico fica possvel avaliar o comportamento dos pontos mais agrupados (Fig. 4). Nesta viso ampliada, os dados foram divididos em segmentos, definidos pelo nmero de tcnicos na Unidade. Nota-se que as Unidades com menores recursos humanos apresentam maior disperso dos dados, o que pode revelar processos internos em TI menos estruturados, com implicaes sobre segurana. Dentro das unidades melhor estruturadas (amarelo) encontramos um ponto mais distante e para ele tambm existem explicaes com respaldo nos dados coletados (ver Anexo V). Mais do que quantificar as relaes, esta anlise grfica mostra-se til, portanto, para visualizar algumas anomalias nas estruturas de TI, capazes de produzir impacto sobre a segurana computacional.

11

Pessoas, Tecnologias e Processos

300,00 Incidentes/pessoas 250,00 200,00 150,00 100,00 50,00 0,50 1,00 1,50 2,00 2,50 Incidentes/mquina

Fig 3 Disperso de incidentes relacionada a pessoas e maquinas

Pessoas, Tecnologias e Processos - sem outliers 30,00 Incidentes/pessoas 25,00 20,00 15,00 10,00 5,00 0,20 0,40 0,60 0,80 1,00 Incidentes/mquinas
Fig. 4 - Disperso de incidentes relacionada a pessoas e maquinas regio linear O que se pode concluir desta anlise que, exceo dos casos anmalos que requerem tratamento especfico, melhorias na segurana (em particular a segurana de rede) podem ser conseguidas primariamente com o aprimoramento em processos (treinamentos) e, em alguns casos, com suporte em novas tecnologias. As percepes dos administradores (respostas aos questionrios) encontram paralelo no nmero de incidentes registrados; porm, neste caso, as distncias entre segmentos pode diminuir atravs de algumas aes dirigidas, como a estruturao dos processos de resposta a incidentes e melhorando o treinamento de tcnicos e usurios. A utilizao dos incidentes de segurana de rede como parmetro de medio da segurana motiva um aprofundamento na discusso sobre a natureza desses incidentes e como eles podem ser combatidos. o que se far na prxima seo.
3a5 tec/Unid 6 a 10 tec/Unid + 10 tec/Unid 0a2 tec/Unid

12

2.3.2. Segurana da Rede

A rede de dados freqentemente associada a problemas de segurana. Tal percepo est relacionada diversidade de comportamentos, dispositivos e sistemas que compem a rede, de tal sorte que a designao geral de rede mascara alguns componentes que podem ser isolados e ter sua segurana melhorada. Por exemplo, para assegurar uma maior integridade e disponibilidade possvel aos sistemas administrativos da USP, foi concebida, no incio dos anos 90, a rede Recad, como uma estrutura fsica e lgica exclusiva no acesso dos sistemas, constituindo-se numa rede de dados separada da rede acadmica e com equipamentos de acesso (desktops) nas pontas tambm distintos. A disseminao da Web trouxe consigo o conceito de servios sobre Web, dispensando as tradicionais estruturas de cliente-servidor que justificavam clientes especiais numa rede separada e que, por isso, perderam sentido de existncia. O que aconteceu foi a natural migrao das estruturas de segurana para a camada de aplicao, atravs dos mecanismos de troca de mensagens cifradas disponveis nos protocolos de segurana embutidos nos navegadores de quaisquer usurios.Tal mudana veio, portanto, acompanhada de presso crescente dos usurios pela liberao indiscriminada no uso dos seus computadores para navegao na Internet, estivessem eles ou no na rede Recad. Atualmente, no existe diferenciao de tratamento dos pacotes para IPs da rede Recad ou rede acadmica para efeito de se garantir maior segurana de uma ou outra rede. O que se entende por incidentes de segurana da rede so todas as notificaes que envolvem os IPs da USP, sejam eles da rede acadmica ou da Recad. A origem das notificaes pode ser interna ou externa. As notificaes internas so aquelas registradas atravs de honeypots, que indicam a ocorrncia de mquinas contaminadas que ainda no geraram reclamaes de outros domnios administrativos de rede alm da USP (outros sistemas autnomos). O CSIRT-USP monitora as ocorrncias de honeypot e comunica o responsvel da Unidade para que sejam verificadas as mquinas configuradas com os IPs atacantes. As ocorrncias externas provem de outros sistemas autnomos e podem ser de natureza variada. Uma mquina infectada geralmente propaga seu worm dentro da rede a que pertence e se no adequadamente saneada poder atacar redes externas. Nesse caso uma notificao externa ser recebia. Tambm so notificaes externas reclamaes sobre acesso a material com direitos protegidos em seus pases de origem (copywright). .A Fig. 5 relaciona os incidentes por tipo, nos anos de 2003, 2004, 2005 e 2007, sendo as maiores incidncias: Spam (rosa): spam com origem em IPs da USP Worm/Trojan (amarelo): com origem em IPs da USP, atacando IPs da USP ou outras redes. Scan (azul): pesquisa de portas vulnerveis, com origem interna ou externa. Dos/DDoS (marrom escuro): inteno de derrubar o servidor ou servio, geralmente pelo acesso ao servio em grande volume, por um ou mais IPs. OpenProxy (laranja): computador da USP cuja vulnerabilidade explorada para envio de spam (robs). Mau Uso (violeta): reclamaes sobre IPs da USP relacionadas a copywright , em geral vinda de redes externas.

13

Todos estes tipos de incidentes tm, em sua maioria, origens comuns, que resultam na explorao de vulnerabilidades, em servidores ou desktops conectados rede com servios habilitados indevidamente. Como exemplo, spams podem conter anexos executveis que instalam worm/trojans e que por sua natureza se espalham buscando mquinas vulnerveis na mesma rede. Tais vulnerabilidades podem habilitar mquinas, denominadas proxies abertos (Open Proxies), que atuam como servidores para o protocolo smtp, no envio de e-mails no solicitados (spam), fechando, desta maneira, o ciclo de infeco e propagao. A causa mais comum para a ocorrncia de incidentes de segurana em rede o descuido pelos usurios dos computadores conectados USPnet, normalmente por falta de proteo adequada no computador, especialmente pela no atualizao do sistema operacional e anti-vrus no computador de uso individual. O grfico mostra tambm a evoluo histrica dos incidentes provocados pelas mquinas conectadas a USPnet, podendo-se extrair dele tambm: Uma aparente correlao entre o nmero de incidentes e a largura de banda disposio dos usurios. Tal correlao se verifica em coincidncia com o upgrade do backbone da USPnet, a partir da instalao dos novos roteadores na rede em agosto de 2003. Uma aparente correlao entre a periodicidade dos incidentes e seu sincronismo com o calendrio escolar, observando-se depresses (reduo no nmero de incidentes) coincidentes com a reduo de atividade escolar, nos meses de dezembro/janeiro e junho/julho. Provavelmente, a depresso observada que acontece nas frias devida a um maior nmero de mquinas desligadas (professores / funcionrios em frias); o mesmo que acontece nos finais de semana e detectado pelo nmero de incidentes registrados no Honeypot, sempre mais baixo nos finais de semana. Que o nmero de incidentes em honeypot e registros de scan aumentaram significativamente a partir de agosto de 2006, acompanhados de reduo considervel nos outros tipos de incidente. Esta correlao explicada em [3] e decorre de mudanas na forma de agir do CSIRT USP que agora passa a interpretar os registros de seus honeypots e enviar notificaes antecipadas, que antes eram apenas repassadas pelo Cert.br. Que o nmero de reclamaes externas classificadas como mau uso da rede USPnet aumentou. Essas reclamaes esto geralmente relacionadas a uso indevido de material com direitos protegidos nos seus pases de origem.

14

Fig. 5 Distribuio por tipo e anual dos incidentes de segurana As mudanas no tratamento de incidentes pelo CSIRT-USP contriburam efetivamente para uma melhora do perfil de incidentes externos, atravs da sua reduo, porm aconteceu s custas de um aumento da carga de trabalho dos administradores, que agora tm de lidar com um maior nmero de incidentes. Esta forma de reduo reativa (ao depois de verificado o incidente) tem limitaes bvias nas capacidades das estruturas de TIs locais e no pode ser encarada como soluo definitiva para uma reduo consistente de incidentes. No obstante, ela aponta para uma necessidade de melhorar as capacidades de resposta das infra-estruturas de TIs locais, que precisam saber como agir, notificando, orientando o usurio e cobrando aes corretivas. Tais aes por sua vez precisam ter eco nos usurios para o correto uso da rede corporativa. A conscientizao do usurio envolve funcionrios, alunos e professores, no sentido de que respeitem cdigos de tica universais para uso da Internet, evitem armadilhas em anexos ou links de e-mails com origem desconhecida e a divulgao de endereos a spammers. O treinamento de administradores na resposta a incidentes e dos usurios no uso dos recursos computacionais so aes que devem ser reforadas pelos planos de ao a serem propostos no mbito desta Comisso, tendo sido adotada em algumas universidades americanas pesquisadas [2,3,4,5,6]. Este relatrio deseja apontar tambm para outro caminho, que proporcione uma reduo pr-ativa no nmero de incidentes, que garanta a reduo consistente de incidentes. A Tabela I mostra como diferentes Unidades da USP tratam problemas de segurana e

15

como resultados diferenciados so obtidos, indicando esse caminho. Adota-se a notao ID_#incidentes para identificar a Unidade da USP a partir do nmero de incidentes que esta Unidade gerou. Destaca-se o fato de que a menor ocorrncia de incidentes est nas Unidades onde se existem polticas de uso locais respaldadas por regras de acesso aos recursos locais implementadas (ex: firewall ). Nestas (ltimas 4 linhas) o nmero de incidentes, no pior caso, igual metade do nmero de incidentes para as Unidades das Unidades que no adotam polticas de controle de trfego e aplicativos, mesmo quando comparados num perodo duas vezes maior. Estes resultados sugerem fortemente a adoo de normas para controles de acesso ao backbone como forma efetiva de evitar a propagao de worms e cdigos maliciosos na USPnet. Perodo: 2006 2005-2006* ID_173 ID_143 ID_112 ID_56* ID_44* ID_3* ID_20* Incidentes Externos 84 55 71 54 41 3 14 Incidentes Internos 79 91 44 2 3 0 6 Poltica de Uso No No No Linux FW FW FW

Tab. 1 Comparativo de incidentes por Unidade USP

2.3.2.1. Controle de trfego e rede sem fio

Outro aspecto importante da segurana da rede de dados est relacionada com a disponibilidade lgica da infra-estrutura. A rede pode ficar indisponvel, ou ter seu desempenho reduzido por m configurao das interfaces, nos switches e roteadores [], por exemplo, quando conexes TCP operam em half-duplex (a menor) por descasamento de velocidade nas portas (portas em auto-negociao), ou devido a loops de roteamento. Este tipo de problema acidental, no provocado, e pode ser resolvido, desde que percebido, ajustando-se a configurao. Entretanto, o desempenho da rede pode ser tambm prejudicado pelo excesso de trfego, que prejudica em particular algumas aplicaes em detrimento de outras. Por exemplo, aplicaes VoIP (Voz sobre IP), embora no consumam muita banda individualmente, podem representar parcela significativa da banda IP disponvel quando todo o trfego de voz considerado. Essas aplicaes so sensveis a atrasos e variaes de atraso e, havendo trfegos concorrentes, principalmente os de natureza orientada a conexo (TCP), tero seu desempenho prejudicado. O conhecimento do perfil de trfego pode ajudar a dimensionar

16

links de comunicao, contingenciar esses links em momentos crticos, prever e gerir sua expanso. Por exemplo, em 2004 a USPnet chegou ao limite de sua capacidade na conexo internacional, o que demandou uma expanso de adicionais 200Mbps, porm s depois de arrastados meses de desgaste dos responsveis pelo servio de provimento da rede. Naquela ocasio a condio da rede afetou todas as aplicaes indistintamente e teria sido bastante interessante ser capaz de evitar a competio da comunicao bsica com aplicaes menos prioritria. Um outro exemplo sobre a necessidade de mapear o trfego a rede sem fio, que uma rede que essencialmente opera sobre meio compartilhado. Os padres atuais de rede wireless fornecem uma banda nominal de 55Mbps (IEEE 802.11a) que na pratica decrescente em funo do numero de usurios fazendo acesso simultneo, sendo mais comum se atingir picos de 60% desses valores em operao normal da rede. Ocorre que a rede foi projetada para acesso fsico multiplexado, para equalizar estatsticamente a chance de acesso por usurios concorrentes. Se forem colocados de servidores na rede, a chance de que esses servidores monopolizem a banda disponvel aumentar, prejudicando o desempenho dos demais usurios. Estes exemplos mostram a necessidade de conhecer a composio do trfego de rede para, se necessrio, priorizar aquelas aplicaes que atendem a finalidade para as quais a rede foi construda e teve os servios anunciados. A figura 6 ilustra a arquitetura da rede sem fio na USP (USPnet sem fio) . Um servidor com um programa de gateway (em laranja) atende em cada campus e autentica os usurios desses campi. Os pontos de acesso (identificados por AP no desenho) conectam-se aos switches de distribuio do backbone que por sua vez conectam-se ao switch onde est o gateway da rede sem fio. O papel da do gateway distribuir dinamicamente um IP no rotevel para qualquer computador mvel que solicite conexo rede. A seqncia de endereos no atendem a qualquer vinculo de local fsico, sendo distribudos endereos conforme so solicitados pelos clientes da rede. Por exemplo, o endereo 172.16.0.5 pode estar alocado numa Unidade da USP e o endereo 172.16.0.6 pode estar em uma outra Unidade completamente distinta. Esta uma restrio do gateway que no tem como segmentar endereos, por exemplo, usando de atributos de vlan (tags de indetificao) atribudos a conjuntos de portas fsicas (e, portanto, em localizaes geogrficas coerentes). Trata-se de uma rede com endereamento flat (no hierrquica). Alm da distribuio de endereos, o gateway apresenta ao usurio um certificado para autenticao do provedor do servio (o que d uma certa garantia ao usurio de ele est realmente se conectando em um servio oficial da USP) e pede ao usurio que se identifique contra a base local de autenticao.

17

AP AP

Rede Distribuio

AP

SC Core Backbone SP
B1 B2 Rede Distribuio

Rede Local AP

Gateway Wireless
Rede Distribuio

RP
Rede Local

Rede Local

AP

B1 = Filtro de Aplicaes B2 = Gateway / Controle de Polticas de Acesso

Fig. 5 Distribuio por tipo e anual dos incidentes de segurana Alguns problemas podem ser apontados em relao segurana da rede sem fio, da forma como est constituda atualmente: No existem mecanismos que impeam aplicaes de monopolizar o uso da rede. Este um problema comum verificado especialmente em no uso de aplicaes P2P (peer to peer). Via de regra, essas aplicaes tem desempenho tanto melhor quanto mais elas compartilham contedo, pois o programa de aplicao (ex. Bittorrent) escolhe se conectar com aquele que compartilha mais. Em outras palavras, a aplicao banda-seletiva. Em se tratando de redes wireless (padro IEEE 802.11 com CSMA/CA) tal seletividade pode comprometer a disponibilidade da rede, porque algumas mquinas monopolizam o meio de comunicao. O filtro B1 antes do gateway, na figura 6 pode ajudar a equilibrar essa situao, se for capaz de estabelecer limites para utilizao da banda da rede por determinadas aplicaes, de tal forma que sempre sobre banda para as demais. O usurio da rede sem fio praticamente inimputvel. Isso se deve ao fato de que os IPs so atribudos dinamicamente, ficando muito difcil na prtica (seno impossvel) determinar quem est fazendo mau uso da rede. A impossibilidade de segmentar a rede impede a efetividade de ferramentas de monitorao, como honeyots, pois no possvel separar o observador da coisa observada. Essa condio associada ao potencial que cada usurio tem em se estabelecer como servidor e relaxar nos cuidados de proteo de seu equipamento (isso j ocorre na rede acadmica - veja-se o

18

nmero de incidentes registrados no CSIRT- porque no haveria de ocorrer na rede sem fio?) coloca grande preocupao quanto segurana dos usurios da rede USPnet. Uma forma de tratar desses aspectos de segurana atravs de um equipamento que possa complementar o gateway de rede em suas funcionalidades, ou substitu-lo completamente. Deseja-se que alm da funo de gateway, permita-se definir vlans, para as quais os endereos dinmicos ficariam pr-mapeados. O equipamento poderia servir tambm como verificador de conformidade dos equipamentos que se conectam a rede, testando requisitos mnimos de segurana (como existncia de anti-vrus instalado) e estabelecendo redes de quarentena para os equipamentos que no atendam esses requisitos. A combinao desses requisitos com vlans podem ser definidas atravs de atributos diferenciados, para usurios de categorias diferentes (atravs de uma base existente LDAP, por exemplo). Tal equipamento est representado na figura 6 por B2. Toda comunicao do usurio na rede, a partir do momento em que autorizado acesso, se d em aberto. A cifragem deve ser garantida pela aplicao e nesse ponto no tem diferena com a rede cabeada. Ocorre que a rede sem fio pode ser monitorada muito mais facilmente de forma que o requisito de confidencialidade mais forte. Pontos de acesso piratas no podem ser evitados pelo mecanismo de autenticao provido. Qualquer pessoa com acesso a um ponto de rede no controlado (a maioria da USP) em sua Unidade pode pendurar uma AP sem maiores preocupaes. Esse procedimento provoca interferncia na zona de cobertura oficial, com prejuzo em ambas as disponibildades de servio (oficial e pirata) e d margem a aes maliciosas, como a instalao de AP para roubo de sesso (um AP identificado pelo SSID como sendo da USPnet sem fio que na realidade existe para capturar informaes dos desavisados). Uma forma de combater este tipo de atividade aumentar a cobertura da USPnet sem fio, para reduzir a motivao de se colocar dispositivos adicionais que suprem deficincias de cobertura. Contudo, para se garantir em tempo de conexo que o computador seja capaz de falar efetivamente com um AP vlido necessrio que o AP tambm seja autenticado (802.1X)

2.3.3. Contingncia de Sistemas

Um outro aspecto que mereceu a ateno da Comisso de Segurana e contou com o respaldo da CTI foi o de se garantir a segurana das aplicaes e sistemas geridos centralmente. Nesta categoria inclumos os sistema de correio eletrnico gerido pelo CCE, que atende ao domnio usp.br e os sistemas administrativos geridos pela DI. Alguns eventos ocorridos recentemente apontaram para a necessidade de se construir uma estrutura de armazenamento de dados resiliente e que permita manobras sem descontinuidades no fornecimento de servios. Trata-se de construir um sistema com replicao sncrona de dados, em locais geograficamente distintos, e com grande capacidade de armazenamento, permitindo a agregao de novos servios. O

19

armazenamento e o processamento de dados cruciais ao funcionamento da Universidade poder ser conduzido via sistema primrio ou replicado, com vantagens em situaes de: greves, ocupaes e eventos inesperados; manutenes podem ser programadas a partir do cronograma da equipe tcnica envolvida apenas, sem envolver acordo com todos os dependentes da infra-estrutura; a segurana de dados fica menos suceptvel a falhas em partes do sistema sistemas dependentes de armazenamento podem ser agregados no sistema proposto, com as vantagens j mencionadas, podendo crescimento e dispor de backup automtico. Menor dependncia de contratos de manuteno, pelos 3 primeiros anos de garantia, pelo menos, tempo suficiente para reviso de arquitetura e fornecimento. O acesso aos dados poder ser feito pela rede de armazenamento exclusiva ou pela rede Ethernet.

2.3.4. Segurana do sistema de e-mail corporativo

O sistema de e-mail desempenha um papel importante na comunicao das pessoas que possuem vnculo institucional. Uma parte importante da segurana desse sistema ficar garantida com a aquisio do sistema de armazenamento proposto em 2.3.3. Uma outra componente importante e que afeta a vida de todos os usurios desse sistema est ligada ao recebimento de correio com contedo malicioso, normalmente associado a spam. O CCE j implementa filtragem centralizada de spam e anti-vrus, atualmente cerca de 80% das mensagens encaminhadas ao domnio usp.br so descartados, resultando apenas 170 mil mensagens vlidas de um total de 850 mil. Ainda que sejam nmeros expressivos, no so suficientes, uma vez que mensagens no vlidas permanecem em nmero cada vez maior entre as filtradas consideradas como vlidas, devido imperfeio dos sistemas atualmente utilizados. Estas mensagens representam um estorvo para os usurios que se utilizam de filtros em cascata no webmail corporativo, na tentativa de elimin-las, o que deteriora fortemente o desempenho do correio eletrnico. Para se ter uma idia, um acesso normal pgina web de correio, para caixas postais significativamente grandes (em torno de 10 mil mensagens), demora sem ordenao ou filtragem uma mdia de 5 segundos, com o todo o sistema de processamento disponvel. O acesso atravs de filtro de ordenao (mensagens por assunto, por exemplo) leva a uma espera mnima de 30 segundos e uma filtragem de contedo, como a que configurada pelo usurio para eliminar spam, demora no mnimo 2 minutos para concluir. Ainda que se trabalhe o usurio para otimizar o uso do sistema, esta no deve ser uma sua preocupao, o desempenho deve ser pervasivo arquitetura do sistema. Por essa razo outras solues para controle de spam esto sendo investigadas. A mais interessante at o momento j utilizada em diversos provedores de correio eletrnico comerciais e emprega uma extensa rede de sensores anti-spam distribudos ao redor do mundo e alimentam uma base central que fica a disposio do administrador.

20

2.4. Concluso sobre escrutnio interno

Esta anlise mostra que preciso melhorar na USP, em primeiro lugar, os processos relacionados ao uso de TI (Q2). Parte desses processos depende de normas claras e compreendidas por todos. Por isso tambm devem ser empreendidos esforos para disseminao de conhecimento e contedo relacionado segurana. Existem assimetrias na estrutura de recursos humanos que so naturais em uma Universidade do porte da USP; porm, com treinamento adequado dos profissionais existentes possvel elevar o coeficiente humano relacionado segurana (Q1), sem grandes novos investimentos. A parte de equipamentos j est em bom nvel e pode melhorar com relativamente poucos investimentos, aumentando-se o controle sobre os j existentes, o que se consegue tambm com o treinamento dos profissionais diretamente envolvidos no dia-a-dia da administrao da rede e seus ativos. interessante constar que em grande parte estas concluses esto alinhadas com o descrito por Shneier [8].

3. Ambiente Externo
Como principais agentes externos na rea de segurana computacional, pode-se relacionar: Outras universidades, Centros de Atendimentos a Incidentes CSIRTs ( Cert.br, CAIS, Cert/CC, AUSCert), Stios para Divulgao de Blacklists (SpamCop, SpamHaus), Parceiros (ANSP, RNP, PTT), provedores de servio Internet: Telefnica, Embratel, Terra, UOL, AOL.

3.1. Como outras universidades esto estruturadas em relao segurana computacional

A estrutura de segurana computacional em 3 universidades norte-americanas foi analisada pela Comisso GPA-Sec: Indiana, MIT e Washington [1, 4,7,9]. As universidades de Indiana e MIT contrastam pela formalizao dos procedimentos associados segurana computacional. A primeira tem norma para quase tudo (20) e adota o procedimento de RFC para novas normas: a norma proposta por um comit permanente e formal e fica 18 meses recebendo comentrios at ser oficializada, nesse meio tempo opera com o status de interina (interim). O MIT parte da premissa que os seus usurios so bem esclarecidos e que sabem o que devem fazer em relao segurana e que a utilizao de firewalls ineficaz, brechas sempre ho de aparecer. Concluiu-se que o caso da USP est mais prximo da universidade de Indiana, tanto pela diversidade de cultura no campus como pela prpria dimenso do campus. O que existe de comum a essas universidades: o a separao entre os agentes executores das aes de segurana dos que elaboram a poltica em si. O grupo de polticas existe formalmente no organograma e permanente, em geral compreendendo representantes de

21

o o o

diversos setores da comunidade de usurios. Esta uma condio encontrada em diversas universidades americanas, conforme mostra a planilha CDS4619 [7] na qual, de 45 universidades, apenas 5 no possuem Comisso ou Equipe dedicada segurana, sendo que nas demais, a grande maioria reporta-se diretamente ao CIO (equivalente ao Coordenador da CTI), o que denota a importncia que o assunto tem merecido.Tal separao tambm existe na Unicamp, que possui uma comisso permanente voltada questo da segurana desde 1997, denominada Comisso de Segurana de Recursos Computacionais, diretamente ligada CGI (o equivalente da CTI na USP), sendo que essa comisso conta com a participao de uma pessoa da procuradoria geral (o equivalente da CJ na USP). todas adotam controles rgidos na segurana de TI e todas utilizam varreduras peridicas de rede, como ferramenta para deteco e vulnerabilidades, e tm poderes para retirar sumariamente da rede mquinas comprometidas. Em alguns casos, o retorno de uma mquina infectada rede exige sua autorizao aps a re-certificao da mesma, o que sendo um procedimento demorado ajuda que os agentes de segurana antecipem e previnam incidentes. proteo dos servios de rede (camada 7) em preferncia proteo da rede (camada 3). nfase na configurao de servidores e controle de aplicativos nos desktops. Mecanismos de SSO (Single Sign On) e SI (Single Identity) esto em andamento ou j disponveis, para acesso aos servios de rede. adoo de poltica de distribuio universal de anti-vrus para todos os usurios da universidade, independente se o computador do proprietrio (uso pessoal). nfase nos mecanismos de comunicao com os usurios e na divulgao de medidas de segurana. nfase no treinamento dos administradores. utilizao de firewall no acesso rede local (incluindo desktop). Firewalls de permetro, aplicados no backbone, so considerados ineficazes [6]. Em alguns casos, boxes so configurados pela equipe de segurana para distribuio aos usurios com menor capacidade de atuao na proteo de seus ativos.

Tambm recebeu anlise do GPA-Sec a forma como incidentes computacionais graves receberam tratamento em outras 3 universidades, Gergia Tech, Montana e Austin. Na questo do tratamento dos incidentes, a lio de que preciso existir um baseline (nvel mnimo de procedimentos) bem documentado na gesto de segurana e que permita responder aos incidentes de forma eficaz e rpida, sendo a comunicao entre os envolvidos nos incidentes a pea fundamental para sua soluo com os menores efeitos colaterais. Outras lies: honestidade a melhor poltica, falar bom, todos os envolvidos esto juntos no problema e devem co-participar na soluo de incidentes de segurana.

3.2.

Conceito externo da USP

Foi elaborado um levantamento junto a alguns provedores de blacklists (DSBL.org e NJABL), num sitio que armazena defacements na Internet (Zone.h) e num sitio que coleta estatsticas de segurana na Internet (DShield), relacionados na tabela abaixo como Fonte de Informao. Observa-se a USP, em destaque, numa posio relativa s demais que pode ser categorizada como desconfortvel. Se comparada ao MIT, a USP leva vantagem pelas suas dimenses geogrficas e de pessoal. Porm, as razes que colocam o MIT nessa posio esto relacionadas sua poltica laissez fare, que no o caso da USP. O grande nmero de Defacement um retrato da realidade USP, com

22

inmeros servidores web que muitas vezes so configurados e tm cdigo de execuo de scripts elaborados por estagirios, com maior preocupao em rpida prototipaco do que com a elaborao de cdigos seguros. Na classificao obtida pelo DShield, a USP figura como origem de 41 ataques diretos, o maior da relao depois do MIT. O elevado nmero de mquinas como alvo de ataques na USP (641) est por sua vez relacionado com o nmero de Spam/Proxy/Zumbi reportados, o que indica que alvos fceis so tambm boas escolhas para ataques indiretos. Os nmeros so absolutos e cumulativos, no so zerados no tempo, e podem no refletir a realidade atual: preciso reconhecer que nos ltimos anos a USP melhorou fortemente sua reputao junto comunidade Internet, especialmente o Cert.br. A tabela, no entanto, traz um mapa de dicas razoavelmente fiel de onde esto os problemas de segurana na USP.

Problema Fonte da informao USP UNICAMP UNESP UFRJ UFRGS UFMG PUC-RIO MIT UTEXAS INDIANA Faixa de IPs 143.107/16 143.106/16 200.145/16 146.164/16 143.54/16 150.164/16 139.82/16 18/8 128.83/16 129.79/16

Defacement Zone.h 22 12 14 16 13 3 2 23 15 3

Ataque a redes Spam/Proxy/Zumbi (IDS/Honeypot) DShiled DShiled DShiled DSBL.org NJABL Sources Targets Reports 41 641 12325 254 61 10 9 10 2 13 2 285 14 17 54 26 6673 2 188330 6 682 61 1694 1400 735 14172 361 188812 326 19072 4933 10008 8 19 71 15 122 8 105 28 12 1 5 17 9 52 2 19 6 5

Tab. 2 Comparativo de incidentes provocados por diversas Universidade

3.3. Vantagens que derivam de oportunidades

Algumas vantagens para implementao na rea de segurana computacional advm de oportunidades oferecidas pela rede de dados, interna (USPnet) e externa. Pode-se identificar: Acesso infra-estrutura das operadoras Os equipamentos das operadoras instalados na universidade facilitam a integrao de servios com menor custo na contratao, aumentando competitividade e possibilitando a criao de rotas de contingncia. o Acesso a novas tecnologias e novidades do mercado fornecedores tm interesse de demonstrar seus produtos comunidade USP, proporcionando acesso facilitado a novas tecnologias para segurana. o

23

o o o o

o o o o o

Range de IPs exclusivo. Contatos com Cert.br e CAIS. Largura de banda disponvel. Marca USP a USP participa ou pode participar, como instituio de renome que , em projetos em mbito nacional (ex: Honeypots distribudos) e fruns e congressos nacionais (ex: GTS, SBRC) e internacionais (ex: Educause, First). Alm disso por ser USP tem privilgios na elaborao de convnios para treinamento de seus tcnicos na rea de segurana (ex: CISCO Academy, Microsoft). Conhecimento do perfil dos usurios USP. Contato diferenciado com fornecedores e provedores de servios. Disponibilidade de primeiro atendimento em 24x7. Estrutura de TI na USP (CTI e CIs). Facilidade de acesso a outros backbones (ex. RNP, PTT/Metro).

3.4.

Ameaas

O mercado apresenta tambm ameaas, ou dificultadores, s aes em segurana computacional. Essas ameaas so decorrentes da evoluo muito rpida das tecnologias de rede, da prpria poltica de atuao das operadoras e fornecedores de equipamentos, das mudanas nas polticas regulatrias do setor e da prpria legislao vigente para aquisio de bens fsicos para rea pblica. Abaixo, so listadas as ameaas identificadas para rea de segurana de redes da USP. o o o o Vrus, SPAM, hackers, etc, so ameaas externas objetivas e constantes. Terceirizaes em TI solues de cunho econmico podem se tornar pesadelos institucionais na rea de segurana e comprometer a reputao da instituio. Greves, associadas falta de mecanismos de contingncia, podem afetar a segurana. Adoo de tecnologias no maduras e solues no padronizadas a utilizao de novas tecnologias, com falta de padronizao e sem comprometimento com tecnologias existentes pode abrir brechas de segurana, uma vez que a segurana deve ser vista como o resultado da integrao de aes e tecnologias. Dependncia na malha de conexo das operadoras o cumprimento de SLAs internos dependem do cumprimento dos SLA externos, sobre o qual a USP tm pouco controle. Tipicamente, o SLA uma medida de disponibilidade do servio no tempo, dentro de um perodo muito longo (1 ms). Perodos de indisponibilidade de minutos podem no afetar o SLA mas afetam a credibilidade do provedor do servio.

4. Plano de Aes
O GPA-Sec adotou uma primeira estratgia para discutir os planos de ao a serem adotados, relacionando um conjunto de aes possveis, partindo dos pontos fracos e ameaas levantadas, e solicitando uma avaliao de prioridades, por grupos de trabalho. Posteriormente essa avaliao confrontada com outras ferramentas para validao.

24

Esse conjunto de aes foi priorizado conforme a percepo de sua importncia relativa, com notas de 0 (sem importncia) a 4 (muito importante) e com gradaes sobre onde deveriam se concentrar os esforos:

Ao
Antivrus Educao do Usurio Definio de polticas e normas de segurana Aplicaes de patches Contingncia/redundncia Treinamento especializado Gerenciamento de aplicaes Inventrio/documentao Ferramentas centralizadas p/ atualizao e anlise sistemas Reposta a incidentes Divulgao de informaes de segurana Eventos temticos peridicos Instalao e configurao de servidores Scan institucional e obrigatrio Controle de acesso (SSO/SI) Firewall IDS Certificados digitais VPN

Nvel de Prioridade
4 4 4 4 4 4 4 4 4 4 4 4 4 3 2 2 2 1 0

Esforo Necessrio p/ implementao

++ ++ ++ + + + + + + + + + + + + + + + +

Tab. 3 Primeiro escrutnio sobre planos de ao Na etapa seguinte, procurou-se relacionar os planos de ao aos pontos fracos levantados no escrutnio interno para estabelecer uma relao de causa e efeito e para verificar a abrangncia de cada plano de ao sugerido. Os planos de ao e os problemas foram agrupados pela natureza do problema que se propunham a resolver, sendo classificados conforme a tabela abaixo (Anexo II) :

25

Tipo de Ao Tipo de Problema Processos Normas Tecnologias Polticas Resultado por tipo de ao

Normativa

Operativa

Hardware

Software

Pessoas

Especial

Resultados por tipo de problema Processos Normas Tecnologias Polticas

Valor_np Valor_nn Valor_nt Valor_npo Normativa

Valor_op Valor_on Valor_ot Valor_opo Operativa

Valor_hp Valor_hn Valor_ht Valor_hpo Hardware

Valor_sp Valor_sn Valor_st Valor_sp Software

Valor_pp Valor_pn Valor_pt Valor_pp o Pessoas

Valor_ep Valor_en Valor_et Valor_ep o Especial

Tab. 4 Matriz de Aes e Problemas Na ltima etapa, o processo de agrupamento foi repetido, desta vez considerando apenas os planos de ao. O objetivo desta anlise o de estabelecer uma ordem de execuo nas aes, de forma que uma determinada ao no fique espera de outras que ainda no terminaram ou nem comearam. Uma matriz de correlao de aes foi gerada (Anexo III) e a partir dela o grafo de encadeamento de aes (Fig. 6)

26

Fig. 6 Grafo do encadeamento das aes para segurana computacional O grafo resume o conjunto de aes e os escopos para sua execuo. As aes tidas como necessrias pela Comisso de Segurana e relacionadas na Tab.2 esto identificadas no grfico por nmeros acima das caixas que descrevem essas aes, sendo que cada cor de nmero representa uma prioridade de execuo. Assim, as aes com numerao em vermelho precedem as aes em azul que precedem as aes em amarelo. O grafo tambm descreve o escopo de atuao ou natureza dos diversos agentes de segurana, sobrepondo cada ao total ou parcialmente com uma caixa colorida. Aes sobrepostas com mais de uma cor identificam que uma ao pode comear no mbito da Comisso mas depende para sua concluso da participao de outros agentes, sendo a contribuio de cada agente na ao proporcional quantidade de cor que o representa. Por exemplo, a caixa Thin Clients identifica uma recomendao da Comisso de Segurana (em amarelo) para a adoo dessa tecnologia, porm sua execuo s pode ser levada a termo pela Unidade (em branco) que deve avaliar a convenincia de sua adoo e propor aes concretas para migrar os computadores para terminais que acessam estruturas comuns para as quais o gerenciamento facilitado e nos quais pode-se implementar controles e polticas centralizadas com maior facilidade. Ou seja, a deciso e processo de migrao cabem Unidade, representando portanto a maior contribuio nessa ao. Na mesma linha encontram-se as aes para varredura de redes (Scan Institucional), Melhoria do Inventrio dos Equipamentos, Aplicao de Patches, Melhoria de Documentao/Logs e Melhoria de Redundncia e Contingncia.

27

Ainda que muitas aes identificadas no grafo sejam de execuo essencialmente descentralizada, cabe Comisso de Segurana enfatizar a necessidade de sua adoo, apontando para a CTI linhas de investimento em TI que contemplem aspectos de segurana computacional e trabalhando em sintonia para que tais aes cheguem a termo. Nessa mesma linha esto identificadas as aes em treinamento (caixas em verde). Quando atingem um grande nmero de administradores da USPnet fogem do escopo de execuo da Comisso de Segurana e passam a fazer parte do escopo da Comisso de Treinamento institudas pela CTI, sendo a necessidade desse treinamento (parte da caixa em amarelo) apontada pela Comisso de Segurana. Por outro lado, aes que tem escopo na melhoria da segurana nas estruturas de servios comunitrios, como o backbone da rede USPnet, rede USPnet sem fio ou a segurana dos servios centralizados em data center (mormente das seguranas providas pelos Centros de Informtica) so de responsabilidade da Comisso de Segurana. Nessa categoria encontram-se as aes que promovem a normatizao e a definio de polticas institucionais no uso de recursos da rede USPnet (caixas em amarelo) assim como a aquisio dos equipamentos que sero capazes de promover a melhoria da segurana para todos os usurios da rede e servios de TI na USP (caixas em rosa), como desdobramento de tais polticas (ainda que informais).

4.1. Resumo dos Planos de Ao

Os planos de ao a seguir descritos consolidam as discusses at aqui. Seu detalhamento apresentado no Anexo I Contingenciamento dos sistemas de armazenamento centralizado com recuperao integral dos dados (PA1). o Valor: R$ 900.000,00 (novecentos mil reais) o Escopo: especificao, aquisio e implantao de sistema de armazenamento com replicao automtica em sitio de contingncia (backup recovery site). o Prazo de aquisio: 2007 Medio e controle de aplicaes na rede sem fio (PA2) o Valor: R$ 180.000,00 (cento e oitenta mil reais) o Escopo: testes, especificao, aquisio e instalao de equipamentos para classificao e filtragem de trfego nos principais campi da USP (SP, RP, SC e Piracicaba) o Prazo de aquisio: 2007 Estruturao de resposta descentralizada a incidentes de segurana (PA3) o Valor: R$ 20.000,00/ano (vinte mil Reais/ano) o Escopo: formao de equipe especializada de reposta a incidentes nos principais campi da USP (SP,RP, SC, Piracicaba e USP Leste) o Prazo de aquisio: setembro de 2007 e conforme agenda do Cert.br Controles adicionais de spam e antivrus em correio corporativo (PA4) o Valor: R$ 130.000,00 (centro e trinta mil reais) o Escopo: aquisio de appliance para monitorao e bloqueio de spam atravs de rede mundial de sensores o Prazo para aquisio: 2008 Implantao de ferramentas para o controle centralizado da Segurana Computacional (PA5). o Valor: 100.000,00

28

Escopo: equipamento para endosso de polticas para autenticao centralizada e controle de atributos associados a perfis de usurio o Prazo para aquisio: 2009 Elaborao de Normas para a Instalao e Configurao de Ativos Computacionais (PA6). No Anexo IV apresentado um quadro com sugestes para o encaminhamento dos trabalhos relacionados s Polticas e Normas, indicando as que deveriam receber ateno imediata e as que deveriam ser adotadas somente aps discusso com a comunidade (processo de RFC). o Valor: no tem custo de aquisio, trabalho que deve ser avaliado em homens/hora. Estimativa: 20 homens/hora/ano o Escopo: Construo de portal para divulgao de RFCs. Discusso e publicao de RFCs. o Prazo para implementao: final de 2008 Elaborao de plano institucional para disseminao de conhecimento e treinamento em Segurana Computacional (PA7). o Valor: no tem custo de aquisio, trabalho que deve ser avaliado em homens/hora. Estimativa: 50 homens/hora/ano o Escopo: produo de material para conscientizao de usurios e administradores (um exemplo est relacionado no Anexo VI). Encontros sobre segurana. Produo de boletins, newsletter, cartilhas e cursos (ex: curso de segurana CISCO Academy) o Prazo para implementao: em andamento. o

29

9. Referncias Bibliogrficas
[1] Albrecht B., Caruso J.. 2003. Information Technology Security at Indiana University. Educause Center for Applied Research ECAR Case Study 8, 2003. [2] Bailes J.E., Tempelton G.F. Managing P2P Security. Communications of the ACM, Volume 47 , Issue 9 (September 2004), pg. 95-98. ISSN- :0001-0782. [3] Camilli A., Chagas, M. I. T. Honeypots as a Tool to Improve Incident Response Readiness at USP. Proceedings: Educause Security Professionals Conference. Denver, 2007 [4] ECAR Information Technology Security. IT Security Technologies Implemented by Higher Education Institutions. Cap.4, Vol. 5, 2003 [5] Educause Security Survey. EDUCAUSE Resource Center. Disponvel em: http://www.educause.edu/LibraryDetailPage/666?ID=CSD4619 . Acessado em : 18 set 2006. [5] Hax A., Majluf N, S. The Strategy Concept and Process: a Pragmatic Approach. Prentice Hall. ISBN 0138521468. 2003 [6] Pirani J., Voloudakis J.. 2003. Information Technology Security at MIT. Educause Center for Applied Research ECAR Case Study 9, 2003. [7] Pirani J. 2003. Incident Response: Lessons Learned from Georgia Tech, the University of Montana and the University of Texas at Austin. Educause Center for Applied Research ECAR Case Study 7, 2003. [8] Schneier, B. University Networks and Data Security. IEEE Security and Privacy , Volume 4 , Issue 5 (September 2006), pg. 88. ISSN:1540-7993 [9] Voloudakis J., King P. 2003. Information Technology Security at University of Washington. Educause Center for Applied Research ECAR Case Study 10, 2003.

30

Anexo I Formulrio para avaliao da segurana computacional na USP

Seo I: Pessoas Esta seo avalia os assuntos de tecnologia relacionados segurana da informao. Pontuao: no executado=0; estgio de planejamento=1; parcialmente executados=2; prximo da concluso=3; inteiramente executados=4 1 Funo/organizao da segurana da informao 1.1 Pode-se identificar em sua Unidade uma pessoa que tenha como dever preliminar a segurana da informao, com responsabilidade para manter o programa da segurana e assegurar sua conformidade? 1.2 Os lderes e os funcionrios da sua equipe de segurana da informao tm a experincia e as qualificaes necessrias? 1.3 A equipe de segurana da informao tem os recursos materiais que necessita para controlar e assegurar conformidade de aes com o programa da segurana da informao? 1.4 A equipe de segurana da informao tem autoridade que necessita para controlar e assegurar a conformidade de aes com o programa da segurana da informao? 1.5 A responsabilidade atribuda, claramente, para todas as reas da arquitetura, da conformidade, dos processos e das auditorias da segurana da informao? 1.6 Existe um plano de recuperao da continuidade e de desastre do negcio (dentro ou fora da funo da segurana da informao)? 1.7 Voc tem um programa de treinamento que proporcione habilidades e conhecimento sobre segurana da informao para os membros da funo da segurana da informao? 1.8 Existe algum na equipe de segurana da informao que seja responsvel por manter comunicao com os Centros de Informtica, com a inteno de identificar alguma exigncia nova da segurana baseada em mudanas nas operaes? 1.9 Existe envolvimento ativo da equipe de segurana da informao com outras Unidades ou Centros de Informtica (recursos humanos, casos do estudante, conselhos legais) para desenvolver e reforar a conformidade de suas aes com as polticas e as prticas da segurana da informao? 1.10 So feitos relatrios regulares de sua equipe de segurana da informao para os lderes de sua instituio sobre a eficcia do programa e das polticas da segurana da informao? 1.11 Os diretores de sua instituio so responsveis pelo programa de segurana da informao, incluindo-se a aprovao da segurana da informao polticas? 1.12 Os chefes e diretores das Unidades tm programas especficos estabelecidos para atender as polticas e os padres da segurana da informao, com o objetivo de assegurar a segurana da informao e dos sistemas que suportam as operaes e os recursos sob seu controle? 1.13 Algum um programa de instruo e de conscientizao de segurana da informao foi implementado em algum momento visando que todos os administradores,

31

professores, equipe de funcionrios, contratantes, fornecedores externos, estudantes, convidados e outros conheam as polticas de segurana da informao que so aplicadas e tambm compreendem suas responsabilidades? Seo II: Processos Pontuao: no executado=0; estgio de planejamento=1; parcialmente executados=2; prximo da concluso=3; inteiramente executados=4 2 Estratgia da tecnologia de segurana

2.1 Sua instituio adota alguma poltica de segurana da informao, baseada em estratgia de segurana da informao e gesto de riscos? 2.2 Tal poltica de segurana atualizada periodicamente para suprir novas necessidades e estratgias do cliente/usurio, tais como ameaas de segurana? 2.3 Existe algum um processo para rever os sistemas e as aplicaes existentes em relao a conformidade e tambm para informar os casos de no conformidade? 2.4 Sua Unidade possui processos e procedimentos que envolvam o pessoal de segurana na avaliao e indicao dos possveis impactos de segurana, antes da compra ou introduo de sistemas novos? 2.5 Se um sistema desenvolvido for alterado, no estando conforme com sua arquitetura oficial, existe algum processo e um tempo definido para traz-lo na conformidade ou para remov-lo do servio, das aplicaes ou dos processos do negcio? 2.6 Sua Unidade possui algum um processo para avaliar e classificar apropriadamente a informao e os recursos da informao que suportam as operaes e os recursos sob seu controle, para indicar os nveis apropriados da segurana da informao? 2.7 Existem documentos especficos, sobre configurao segurana, para todos os sistemas e para as aplicaes em sua Unidade? 2.8 Sua Unidade tem alguma estratgia, poltica e procedimentos que monitoram e prontamente disponibilizam boletins de segurana e relatrios das vulnerabilidades? Desenvolvimento e aplicao de poltica 2.9 As polticas de segurana da informao esto escritas de forma consistente e fcil de compreender? Elas esto disponveis aos administradores, empregados, estudantes, contratantes e scios? 2.10 Existe algum mtodo para divulgar as polticas de segurana aos administradores, empregados, estudantes, contratantes e scios? 2.11 As conseqncias para o no cumprimento com as polticas incorporadas, claramente, so comunicadas e reforadas? 2.12 Existem procedimentos documentados para conceder excees poltica? 2.13 Quando as polticas so atualizadas ou novas polticas so desenvolvidas, conduzida alguma anlise para determinar suas implicaes financeiras e de recurso para executar a poltica nova? 2.14Suas polticas de segurana so eficientes em relao aos riscos identificados atravs das suas anlises e avaliaes de risco? 2.15 As polticas relevantes da segurana so includas em todos seus contratos com terceiros?

32

2.16A segurana da informao relevante em todas as decises importantes dentro da organizao? Polticas e procedimentos da segurana da informao Polticas ou procedimentos de segurana escritos oficialmente, que informam as diversas reas da instituio e que baseiam a estratgia da gerncia de risco da segurana da informao: 2.17 Responsabilidades individuais referentes as prticas da segurana da informao 2.18 Uso aceitvel dos computadores, do e-mail, da Internet e da Intranet 2.19 Proteo de recursos organizacional, incluindo a propriedade intelectual. 2.20 Controle da privacidade incluindo as brechas das informaes pessoais 2.21 Gerncia da identidade incluindo as brechas das informaes sensveis da identidade 2.22 Prticas e exigncias de autorizao, controle de acesso e autenticao. 2.23 Classificao, reteno, e destruio dos dados. 2.24 Informao compartilhada incluindo armazenamento e transmisso de dados institucional atravs de recursos externos (ISPs, redes externas, sistemas dos contratantes) 2.25 Gerncia de vulnerabilidade (gerncia de patches e software do antivirus) 2.26 Planejamento de contingncia da recuperao de desastre (planejamento da continuidade do negcio) 2.27 Relatrio e resposta dos incidentes 2.28 Monitorao e vigilncia da conformidade da segurana 2.29 Processos de gerncia de mudana 2.30 Segurana fsica e verificaes de autorizao ou reconhecimento do pessoal 2.31 Relatrios dos eventos de segurana para as partes afetadas incluindo indivduos, pblico, scios, autoridades da lei e outras organizaes da segurana. 2.32 Investigao e correo imediata das causas das falhas de segurana 2.33 Backup e segurana dos dados em um local remoto (site de contigncia) 2.34 Disposio segura dos dados, das mdias velhas ou dos materiais impressos que contm informao sensvel/crtica. Segurana Fsica Para seus centros de dados crticos, salas de programao, centros de operaes de rede e outras instalaes ou localizaes sensveis: 2.35 As medidas de segurana fsica restringem entrada forada ou no autorizada? 2.36 Existe algum processo para emitir chaves, cdigos, e/ou os cartes que requ erem uma autorizao e checagem prvia para ter acesso a estas instalaes sensveis? 2.37 Os equipamentos e fiao crticos esto protegidos contra perdas de energia, falhas e ameaas ambientais? 2.38 Sua instituio mantm um inventrio atual dos elementos fsicos da rede (roteadores/switches, subnets, DNS e servidor DHCP) e tambm dos recursos lgicos da rede (os nomes do domnio, endereos de rede, listas de controle de acesso)? 2.39 Existe algum processo de configurao e gerncia que assegure que as mudanas dos seus sistemas crticos sejam realizadas por motivos de negcio e com uma autorizao apropriada? 2.40 Sua Unidade testa e avalia periodicamente, ou faz auditoria peridica dos programas de segurana da informao, das prticas, controles e tcnicas, para assegurar que esto sendo executados eficazmente?

33

2.41 Sua Unidade conduz periodicamente uma avaliao ou uma auditoria dos programas e prticas de segurana da informao para cada unidade de negcio? 2.42 As auditorias ou avaliaes peridicas testam a eficcia das polticas, procedimento e das prticas de segurana da informao de um subconjunto representativo de cada sistema de informao de sua unidade de negcio? 2.43 As auditorias avaliam a conformidade de cada unidade de negcio com as exigncias de uma estrutura padro de segurana da informao, polticas da segurana da informao relacionadas, padres e procedimentos? 2.44 As mtricas de segurana e desempenho esto institudas, avaliadas e relatadas? Seo III: Tecnologia Pontuao: no executado=0; estgio de planejamento=1; parcialmente executados=2; prximo da concluso=3; inteiramente executados=4 3 Tecnologia para Segurana 3.1 Os servidores acessados pela Internet so protegidos por mais de uma camada da segurana (Firewalls e IDS)? 3.2 Existem controles entre as camadas de sistemas end-tier? 3.3 So realizadas varreduras peridicas nas redes, sistemas, e aplicaes de sua Unidade para verificar a integridade das configuraes e se h vulnerabilidades? 3.4 Voc monitora constantemente, em tempo real, as suas redes, sistemas e aplicaes para acessos no autorizados e comportamentos anmalos (vrus, cdigos maliciosos e tentativas de invaso) ? 3.5 As atividades relacionadas segurana, tais como, mudanas de configurao de hardware, mudanas de configurao do software e tentativas de acesso so registradas automaticamente? 3.6 As chaves cifradas (criptografadas) e dados sensveis cifrados (criptografados) so protegidos corretamente? 3.7 Existem mecanismos eficazes e de confiana para controlar as identidades digitais (contas, chaves, tokens) durante todo seu ciclo de vida, ou seja, do registro ao trmino? 3.8 Todos seus sistemas e aplicaes suportam e usam uma gerncia automtica de mudana ou expirao automtica de senhas, assim como regras de senhas complexas? 3.9 Voc tem um sistema de autenticao que aplica diferentes nveis de autenticao para proteger recursos conforme a importncia da informao? 3.10 Voc tem um sistema de autorizao que fornece limites de tempo para uso e perfis de uso com privilgios mnimos? 3.11 Seus sistemas e aplicaes usam prticas de gerncia de sesso/usurio incluindo intervalos automticos de parada e bloqueio de usurio quando falha a autenticao? 3.12 Voc emprega medidas especficas para detectar e impedir o acesso burlado (AP estranho, sem controle e sem autorizao) em toda rede wireless? 3.13 Voc emprega medidas especficas de segurana para os servidores de DNS e de endereos IP (DHCP)? 3.14 Voc emprega medidas especficas de segurana para os servios de acesso remoto (VPN e dial-up), e para os sistemas de acesso remoto para os clientes? 3.15 Todas as estaes de trabalho e todos os servidores esto protegidos com software de antivrus atualizados automaticamente?

34

3.16 Existe auditoria para verificar se todos os programas so atualizados freqentemente e sistematicamente? 3.17 Todas as estaes de trabalho e todos os servidores so atualizados regularmente com os ltimos patches do sistema operacional? 3.18 Analisando a severidade e urgncia do cliente, existem mecanismos para relatar e reagir a uma relao de anomalias e de eventos de segurana?

35

Anexo II Matriz de Aes e Problemas

36

Anexo III Matriz de correlao de aes

Na matriz de correlao de aes, as aes aparecem nas linhas e colunas: as aes que dependem de outras, (relacionadas nas linhas como Precisa de:), recebem um X na interseco correspondente, sendo que nas linhas esto a dependncias. A aes que dependem em maior nmero de outras (indicado por Rank, na ltima linha) so em princpio, mais complexas de serem executadas e levaro mais tempo para sua concluso e aparecem ordenadas pelo Rank. As colunas tambm foram ordenadas seguindo o mesmo critrio. Neste caso, o nmero indicado pela coluna G indica a abrangncia da ao, isto , a influncia que aquela ao exerce sobre as demais. Percebe-se a importncia da elaborao das normas na execuo das demais aes e porque essa deveria ser a ao com execuo mais imediata.

37

Anexo IV Sugesto de Itens de Poltica e Normas a serem considerados como Mandatrios ou Recomendaes

38

Anexo V Mtricas para gesto da segurana computacional

O documento abaixo prope um conjunto de aes necessrias para gesto do nvel de segurana computacional e para cada ao uma ou mais mtricas, isto formas para acompanhamento dessas aes, em cada esfera de execuo da Segurana (Governana, Gerenciamento e Execuo Tcnica). Em ltima anlise, especifica o SLA em segurana computacional. A) Governana (CTI, CCE e CIs - Administradores de TI da USP) a. Aprovar Princpios para o Programa de Segurana de Informao na USP i. Identificao dos elementos-chave e funes-chave para os quais deve ser definida segurana a nvel corporativo 1. % dos elementos-chave que possuem uma estratgia de segurana associada, com limiares de risco identificados. 2. % das funes-chave para as quais existe uma estratgia de segurana (ou contingncia) associada b. Aprovar indicao das pessoas-chave em cada instituio que iro lidar com segurana da informao i. % de Unidades com pessoas e papis identificados ii. % de Unidade que identificaram necessidades especficas de treinamento c. Garantir os recursos necessrios para a continuidade de negcios (storage e site de contingncia) i. % de Unidades com plano de contingncia implementado e com responsabilidades atribudas na execuo desse plano. ii. % das Unidades que possuem treinamento de segurana bsico para novos ingressantes. iii. % das Unidades que implementam treinamento anual de segurana. d. Colaborar com o pessoal de gerenciamento de segurana nas Unidades para definio das mtricas que melhor refletem as necessidades recprocas. i. % de administradores de segurana que implementaram planos especficos para adequao das estruturas de suas Unidades s polticas propostas. B) Gerenciamento (administradores das Unidades) a. Estabelecer Polticas em segurana e Controles e Monitorao para segurana. i. % dos elementos do programa (treinamento, normatizaco, gerenciamento) de segurana para os quais existem polticas estabelecidas e controles operacionais (atualmente somente para incidentes: numero de incidentes, tempos de resposta a incidentes) ii. % de polticas ou normas que no precisaram ser reescritas (ou que no sofreram violao ou apresentaram brechas, depois de serem sacramentadas) b. Estabelecer papis para pessoas relativos segurana na Unidade; atribuir responsabilidades, identificar habilidades necessrias e treinar as pessoas. i. % de pessoas que reconheceram seus papis e responsabilidades relativas segurana.

39

ii. % das pessoas com responsabilidade em segurana que receberam treinamento especfico para a funo que esto exercendo. iii. % de pessoas responsveis pela segurana que esto contribuindo ativamente. iv. % de novos empregados que concluram satisfatoriamente os treinamentos bsicos para segurana v. % de empregados que completaram treinamento anual de segurana vi. % de empregados e alunos que tiveram diretos de acesso revisados pela equipe de segurana no ltimo ano. c. Aprovar, de forma documentada, a arquitetura dos sistemas de informao nas fases de aquisio, implantao operao e manuteno (processo de mudana) i. % de mudanas em sistemas que foram revisadas quantos aos impactos de segurana, aprovados pelos responsveis e documentados. d. Identificar os elementos componentes da segurana e classificar sua importncia relativa i. nmero de elementos crticos e funes dependentes de informao levantados em cada Unidade. e. Avaliar riscos e estabelecer limiares de aceitabilidade i. % dos elementos componentes crticos para os quais foi elaborada anlise de risco (identificados os riscos e os equipamentos em que podem ocorrer). ii. % de servidores crticos operando em locais onde existe controle de acesso iii. % de equipamentos operando em condies ambientais adequadas (temperatura e humidade) C) Execuo Tcnica (analistas e tcnicos das Unidades) a. Identificao, cadastramento e autenticao de usurios i. Nmero de UserIDs atribudos auma mesma pessoa cadastrada nos sistemas da Unidade ii. % de sistemas que executam verificao de consistncia mnima de senha e adotam polticas para senha b. Gerenciamento de contas dos usurios i. % de sistemas para os quais as senhas default de fabricante foram redefinidas ii. % de sistemas com bloqueio e contas automtico implementado de acordo com poltica da instituio. iii. % de sistemas com timeout de sesso, conforme poltica. iv. % de contas de pessoas que no mais trabalham na Unidade que esto bloqueadas c. Definio dos privilgios dos usurios i. % de sistemas que tem restrio para instalao de software no padro, conforme o definido em poltica local. d. Gerenciamento de configurao i. % de sistemas que esto com configurao aderente ao definido nas normas e polticas locais

40

e.

f.

g.

h.

i.

j.

k.

ii. % de sistemas cuja configurao comparada com uma linha de base (configurao armazenada de bsica) para segurana, para deteco de mudanas no esperadas (p.ex. deixadas por hacker). iii. % de sistemas para os quais a autorizao para efetuar mudanas de configurao restrita a algumas pessoas com responsabilidade definida. Monitorao e Log das Atividades e Eventos i. % de sistemas para os quais existe log de eventos e de atividades ii. % de sistemas para os quais o log atende aos requisistos de reteno definidos em polticas da Unidade ou institucionais iii. % de sistemas que geram alertas sobre atividades suspeitas ou em situaes crticas Segurana no acesso infra de telecomunicaes e e-mail i. % de notebooks e dispositivos mveis que so checados quanto conformidade de configurao e polticas de segurana no acesso rede USPnet. ii. % de canais institucionais cifrados nas comunicaes de/para maquinas da Unidade (ftp, telnet, VPNs, Web, wireless, etc) iii. % de servidores protegidos contra relay iv. % de usurios mveis que utilizam canais seguros Proteo contra cdigos maliciosos, vrus, worm e trojans i. % de estaes, desktops e notebooks com proteo de anti-virus institucional (informar tambm nmeros absolutos de inventrio) ii. % de servidores com proteo de anti-virus institucional (informar tambm nmeros absolutos de inventrio) iii. % de servidores escaneados diariamente iv. % de estaes de trabalho e desktop escaneadas diaraiamente Atualizao de softwares em sistemas operacionais e aplicativos i. % de sistemas com ltimas verses de patches instaladas ii. tempo mdio de atualizao de servidores a partir do release do ltimo patch. iii. % de sistemas para os quais os impactos em segurana foram analisados antes das mudanas. IDS e Firewall (IPS) so utilizados para separar e monitorar comportamento de redes seguras e de rede abertas. i. % de fw de estao (pessoais) configurados de acordo com a poltica da instituio ii. nmero de fw e ids de permetro em operao na Unidade Backup e recuperao dos dados da instituio i. % de sistemas crticos que possuem backup ii. % de sistemas crticos cuja recuperao de backup foi necessria e completou-se com xito. iii. % de mdia de backup sanitizada antes de ser joga fora Deteco de vulnerabilidades e resposta a incidentes i. % do tempo operacional dos sistemas crticos que ficou indisponvel devido a incidentes de segurana ii. % dos sistemas que ficaram indisponveis devido explorao de vulnerabilidades conhecidas (anunciadas) ou notificadas. iii. % dos incidentes de segurana que foram administrados conforme as polticas da instituio.

41

iv. Tempo mdio de resposta s notificaes relativas a incidentes de segurana. v. % dos incidentes notificados para a Unidade que continuam em aberto.

42

Anexo VI Quizz procedimentos para conscientizao de usurios Resultados

O questionrio abaixo apresentado aos solicitantes de novas contas de correio eletrnico. Trs perguntas so sorteadas em seqncia e as opes corretas so apresentadas com texto explicativo ao final de cada resposta, independente do acerto ou erro. Nota-se que muitos usurios no sabem como proceder em relao a spam (questo 10), uma dos maiores incmodos percebidos pelos usurios dos servios de email. Este questionrio foi condensado e adaptado de iniciativas semelhantes adotadas em outras universidades norte-americanas. O nmero de respostas aqui mostrado referese em sua maioria aos novos alunos ingressantes (686 novas contas).

id Acertos Visualizacoes /perguntasQuestionario/pergunta 1 596 686 Como voc acha que a maioria dos programas maliciosos (vrus, cavalo de tria, worms, etc.) entra nos computadores? 2 462 686 O que voc faz ao receber um email de contedo suspeito com links ou arquivos anexos

/perguntasQuestionario/textoExplicativo Os e-mails so usados como porta de entrada para muitos programas maliciosos. O contedo de uma mensagem fraudulenta tenta induzir o usurio a clicar em algum link ou abrir um arquivo anexado, instalando um destes programas Os e-mails so usados como porta de entrada para muitos programas maliciosos. O contedo de uma mensagem fraudulenta tenta induzir o usurio a clicar em algum link ou abrir um arquivo anexado, instalando um destes programas. Nomes, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones e datas devero estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informao para tentar se autenticar como voc. Quanto mais "bagunada" for a senha melhor, pois mais difcil ser descobr-la. Assim, tente misturar letras maisculas, minsculas, nmeros e sinais de pontuao. Uma regra realmente prtica e que gera boas senhas difceis de serem descobertas utilizar uma frase qualquer e pegar a primeira, segunda ou a ltima letra de cada palavra. Uma boa senha deve ter pelo menos oito caracteres (letras, nmeros e smbolos), deve ser simples de digitar e, o mais importante, deve ser fcil de lembrar. Ex.: usando a frase "o sapo no lava o p" podemos gerar a senha 0$nlope!" (o 0(zero) e os caracteres especiais foram colocados para acrescentar smbolos senha). Senhas geradas desta maneira so fceis de lembrar e so normalmente difceis de serem descobertas. Mas lembre-se: a senha "0$nlope!" deixou de ser uma boa senha, pois faz parte deste teste.

499

686 Para no esquecer sua senha, utilize palavras ou nomes de pessoas prximas a voc.

607

686 Memorize sua senha e procure no anot-la:

43

609

686 Troque suas senhas periodicamente, de preferncia a cada 60 ou 90 dias.

Voc deve trocar suas senhas regularmente, procurando evitar perodos muito longos. Uma sugesto que voc realize tais trocas a cada dois ou trs meses. Lembre-se que trocas regulares so muito importantes para assegurar a confidencialidade de suas senhas. Alm de um ter um antivrus instalado e atualizado, voc precisa manter o sistema operacional atualizado, bem como os aplicativos que voc usa, tais como o navegado e firewall pessoal. Voc deve tomar cuidado com programas de troca de mensagens (MSN, Yahoo Messenger, skype, ICQ, etc.). Eles podem ser utilizados por pessoas mal intencionadas para obter informaes confidenciais de usu[arios, como a senha de banco e nmeros de carto de crdito. Algumas dicas de configurao para melhorar a segurana do seu programa leitor de e-mails so: i. desligar as opes que permitem abrir ou executar automaticamente arquivos ou programas anexados s mensagens; ii. desligar as opes de execuo de JavaScript e de programas Java ; etc. iii. desligar, se possvel, o modo de visualizao de emails no formato HTML Um firewall bem configurado ir bloquear tentativas de invaso, podendo barrar tambm o acesso a backdoors, mesmo se j estiverem instalados no computador. Alguns programas de firewall permitem analisar continuamente o contedo das conexes, filtrando vrus de e-mail, cavalos de tria e outros tipos de malware, antes mesmo que os antivrus entrem em ao. Deve-se reclamar de spams para os responsveis pela rede de onde partiu a mensagem. Se esta rede possuir uma poltica de uso aceitvel, a pessoa que enviou o spam pode receber as penalidades que nela esto previstas. Para saber mais sobre spam e como proceder para fazer uma reclamao visite a pgina http://www.antispam.br.

655

686 O antivrus um programa completo e por isso no precisa ser atualizado. 686 No fornecer informaes pessoais ou aceitar arquivos de pessoas desconhecidas em programas de bate-papo. 686 possvel configurar um programa leitor de e-mails de forma mais segura?

680

588

541

686 Se algum ou algum programa suspeito tentar se conectar ao seu computador, o que o seu firewall pessoal ir fazer?

10

439

686 Como devo proceder no caso de receber um spam?

44

11

652

686 Seu amigo, vendedor de planos de sade, falou que est sem computador e lhe pede para enviar um e-mail informando as novas ofertas do plano de sade para um lote de 10.000 possveis novos usurios. Qual a sua atitude?

No h uma definio exata do que possa ser considerado um uso abusivo da rede. Internamente s empresas e instituies, situaes que caracterizam o uso abusivo da rede esto definidas na poltica de uso aceitvel. Na Internet como um todo, os comportamentos listados abaixo so geralmente considerados como uso abusivo: envio de spam ; envio de correntes da felicidade e de correntes para ganhar dinheiro rpido; envio de e-mails de phishing/scam; cpia e distribuio no autorizada de material protegido por direitos autorais; utilizao da Internet para fazer difamao, calnia e ameaas; Leia um pouco mais sobre o assunto em: http://cartilha.cert.br/ Manter o sistema atualizado importante para garantir a segurana e estabilidade do computador. importante tambm garantir que os aplicativos (clientes de e-mail, navegadores, etc.) estejam atualizados. Programas atualizados so os mais seguros contra falhas de segurana, protegendo o sistema contra vrus e worms que se utilizam de brechas para se espalhar. Instalar e/ou atualizar a verso mais nova do antivrus tambm importante, principalmente se voc recebe muitos arquivos de colegas e amigos. Estes arquivos podem estar infectados. Mas, ateno, no instale dois ou mais antivrus no computador. Voc aumentar o nmero de problemas e conflitos e diminuir o desempenho da mquina. Alm disto, voc no estar mais seguro. A resposta para esta pergunta no simples. Os motivos pelos quais algum tentaria invadir seu computador so inmeros. Alguns destes motivos foram listados anteriormente. A sua senha (qualquer seja ela banco, e-mail, msn, etc.) pessoal e intransfervel. Nunca fornea sua senha para qualquer pessoa, em hiptese alguma. Evite anotala em papel, agendas (de papel e de celular), etc. Todas os itens relacionados so considerados inapropriados e, em geral, fazem parte da Poltica de uso aceitvel da empresa ou dos provedores de acesso Internet.

12

570

686 Voc adquiriu um computador e ele j tem um programa antivrus instalado. seguro conectar o micro na rede e us-lo para acessar a Internet?

13

517

686 Por que algum poderia invadir meu computador mesmo que eu no tivesse nada do valor nele? 685 Se voc receber um telefonema de algum solicitando a sua senha, o que voc deve fazer? 685 Quais dos comportamentos abaixo podem ser considerados inapropriados?

14

670

15

635

45