1

Introduo segurana
computacional
Definio formal de segurana computacional
Ameaas
Polticas e mecanismos
Suposio e confiana
Garantia
Questes operacionais
Questes humanas
(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (1)

Segurana computacional
Prevenir que atacantes alcancem seus objetivos atravs do acesso no
autorizado ou uso no autorizado dos computadores e suas redes
(Howard, 1997)
Acesso no autorizado:
autorizado ocorre quando um indivduo tenta acessar
informaes ou recursos sem a devida autoridade
Uso no autorizado:
autorizado ocorre quando um indivduo com autoridade para
acessar informaes ou recursos de um certo modo tenta acess-las de outras
formas
(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (2)

Atacantes

Meios

Acesso

Hackers

Comandos
de usurios

Vulnerabilidade
implementao

Acesso no
autorizado

Espies

Programas
ou scripts

Vulnerabilidade
projeto

Uso no
autorizado

Terroristas

Agentes
autnomos

Vulnerabilidade
configurao

Agressores
internos

Toolkits

Criminosos
Profissionais

Ferramentas
distribudas

Vndalos

Grampo de
Dados

Processos
(arquivos
ou dados
em trnsito)
Servios de
segurana

Resultados

Objetivos

Corrupo da
informao

Desafio,
status

Revelao da
informao

Ganho
poltico

Roubo de
servio

Ganho
financeiro

Recusa de
servio

Causar
perdas

(C) 2004-2006 Gustavo Motta

Taxonomia de ataques
a redes e computadores

Definio de segurana computacional (3)

Segurana computacional
A segurana em um sistema de informao (SI) visa proteg-lo contra
ameaas confidencialidade,
confidencialidade integridade e disponibilidade das
informaes e dos recursos sob sua responsabilidade (Brinkley & Schell,
1995; Joshi et al., 2001)

(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (4)

Confidencialidade (1)

a manuteno do sigilo das informaes ou dos recursos

A violao da confidencialidade ocorre com a revelao no autorizada da

informao ou dos recursos

A preveno contra as ameaas confidencialidade em SI pode ser alcanada com a

aplicao de mecanismos de controle de acesso e com tcnicas de criptografia e de
segurana de redes

A confidencialidade tambm se aplica a mera existncia de um dado, que pode ser

mais importante do que o dado em si

Todos os mecanismos que impem confidencialidade requerem servios para suportlos suposies e confiana
(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (5)

Confidencialidade (2)
Exemplo: criptografia como mecanismo de controle de acesso
A criptografia do extrato de uma conta corrente previne algum de l-lo.
Caso o correntista precise de ver o extrato, ele precisa ser decifrado. Apenas
o possuidor da chave criptogrfica, utilizando o programa de decifrao,
pode faz-lo. Entretanto, se outrem conseguir ler a chave, a
confidencialidade do extrato fica comprometida
O problema da confidencialidade do extrato se reduz agora
confidencialidade da chave criptogrfica, que deve ser protegida

Exemplo: proteo da existncia de um dado

Saber que um indivduo um cliente VIP de um banco pode ser mais
importante que saber quais/quantos so os recursos que ele possui aplicados

(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (6)

Integridade (1)
Refere-se a confiabilidade da informao ou dos recursos
A violao da integridade ocorre pela modificao imprpria ou no
autorizada da informao ou dos recursos
Integridade de dados
Confiabilidade do contedo dos dados

Integridade de origem
Confiabilidade da fonte dos dados autenticao
Sustenta-se na acurcia e na credibilidade da fonte e na confiana que as pessoas
(C) 2004-2006 Gustavo Motta
7
depositam na informao

Definio de segurana computacional (7)

Integridade (2)
Classes de mecanismos para integridade
Mecanismos de preveno
Objetivam manter a integridade dos dados com o bloqueio de qualquer tentativa no
autorizada de modific-los ou qualquer tentativa de modific-los por meios no
autorizados acesso e uso no autorizados
Autenticao e controle de acessos adequados, em geral, so eficazes para prevenir o
acesso no autorizado
O uso no autorizado requer formas de controle distintas, sendo mais difcil de prevenir

Mecanismos de deteco
Buscam reportar que a integridade dos dados no mais confivel, em parte ou no todo
A criptografia pode ser usada para detectar violaes de integridade

A avaliao da integridade de difcil realizao por basear-se em suposies

sobre a fonte dos dados e da sua confiabilidade
(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (8)

Integridade (3)
Exemplo: corrupo da integridade de origem
Um jornal pode noticiar uma informao obtida de um vazamento no Palcio
do Planalto, mas atribu-la a uma fonte errada. A informao impressa
como recebida (integridade dos dados preservada), mas a fonte incorreta
(corrupo na integridade de origem )

Exemplo: distino entre acesso e uso no autorizados

Num sistema contbil, o acesso no autorizado ocorre quando algum quebra
a segurana para tentar modificar o dado de uma conta, por exemplo, para
quitar um dbito, sem autoridade para tal
Agora, quando o contador da empresa tenta apropriar-se de dinheiro
desviando-o para contas no exterior e ocultado respectivas transaes, ento
ele est abusando de sua autoridade embora possa,
possa ele no deve faz-lo
(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (9)

Disponibilidade (1)
Refere-se a capacidade de usar a informao ou o recurso desejado
A violao da disponibilidade ocorre com a reteno no autorizada de
informaes ou recursos computacionais
Ataques de recusa de servio denial of service attacks

Usualmente definido em termos de qualidade de servio

Usurios autorizados esperam receber um nvel especfico de servio,
estabelecido em termos de uma mtrica

Mecanismos para preveno/deteco eficazes so difceis de implementar e

podem ser manipulados
(C) 2004-2006 Gustavo Motta

10

Definio de segurana computacional (10)

Disponibilidade (2)
Exemplo: manipulao de mecanismos de disponibilidade
Suponha que Ana tenha comprometido o servidor secundrio de um banco,
que fornece os saldos das contas correntes. Quando algum solicita
informaes ao servidor, Ana pode fornecer a informao que desejar. Caixas
validam saques contatando o servidor primrio. Caso ele no obtenha
resposta, o servidor secundrio solicitado. Um cmplice de Ana impede que
caixas contactem o servidor primrio, de modo que todos eles acessam o
servidor secundrio. Ana nunca tem um saque ou cheque recusado,
independente do saldo real em conta
Note que se o banco tivesse apenas o servidor primrio, este esquema no
funcionaria o caixa no teria como validar o saque
(C) 2004-2006 Gustavo Motta

11

Ameaas (1)
Ameaa
Uma ameaa uma potencial violao de segurana
As aes que podem acarretar a violao so denominadas de ataques
Aqueles que executam tais aes so denominados de atacantes
Os servios de suporte a mecanismos para confidencialidade, integridade e
disponibilidade visam conter as ameaas segurana de um sistema

(C) 2004-2006 Gustavo Motta

12

Ameaas (2)
Classes de ameaas (Stallings, 1999)

Preveno

Confidencialidad
Disponibilidade
Autenticao
Integridade
e

origem

Ameaas

destino

Interceptao
Fabricao
Modificao
Fluxo
Interrupo
normal
(C) 2004-2006 Gustavo Motta

13

Ameaas (3)
Classes de ameaas (Shirey, 1994)
Disclosure: acesso no autorizado informao
Snooping (bisbilhotar): ataque passivo o grampo telefnico o exemplo clssico

Deception: aceitao de dados falsos, induo ao erro

Modificao (alterao), spoofing (masquerading ou logro), repudiao de origem,
repudiao de recebimento

Disruption: interrupo ou preveno da operao correta de um sistema

Modificao

Usurpao
Modificao, spoofing, delay, recusa de servio

(C) 2004-2006 Gustavo Motta

14

Ameaas (4)
Masquerading Delegao
Masquerading ocorre quando uma entidade personificada por outra
Delegao ocorre quando uma entidade autoriza outrem a realizao aes
em seu interesse
Todas as partes so cientes da delegao, que pode ser verificada junto ao
delegante

Exemplo: delegao por motivo de frias

Quando Ana sai de frias no banco, ela delega para Jos a autoridade (menos a
capacidade de delegar) para que ele atuar em seu interesse. Nesse caso, Jos no
finge ser Ana, mas pode afirmar que atua no interesse dela, que pode confirmar
isto
Contrariamente ao masquerading, a delegao no uma violao de segurana
(C) 2004-2006 Gustavo Motta

15

Polticas e mecanismos (1)

Poltica de segurana
uma diretriz de alto nvel que determina o que permitido e o que proibido
Em geral, so expressas em linguagem natural ambigidades e incompletudes
Brinkley & Schell (1995) definem o conceito de poltica tcnica como sendo a
interpretao da poltica de alto nvel em termos dos relacionamentos formais
entre as entidades ativas (sujeitos),
sujeitos as entidades passivas (objetos)
objetos e os modos de
acesso (operaes)
operaes permitidos
Matemtica precisa, mas difcil de trabalhar e de entender: descrita em termos de
estados permitidos (seguros) e proibidos (no seguros)
Linguagens para expressar polticas alia preciso com facilidade de uso

(C) 2004-2006 Gustavo Motta

16

Polticas e mecanismos (2)

Mecanismo de segurana
um mtodo,
mtodo ferramenta ou procedimento que pode ser usado para impor
uma poltica de segurana
Tcnico: aquele no qual os controles de um sistema impem a poltica
Obrigar um usurio a fornecer uma senha para autentic-lo antes de utilizar um
recurso

Procedimental: aquele no qual controles externos ao sistema impem a poltica

Sanes contra aqueles que violam a poltica de segurana

Composio de polticas
Caso as polticas conflitem, as discrepncias podem criar vulnerabilidades de
segurana
(C) 2004-2006 Gustavo Motta

17

Polticas e mecanismos (3)

Exemplo: distino entre polticas e mecanismos
Suponha que o laboratrio de computao de uma universidade estabelece
uma poltica que probe qualquer estudante de copiar os arquivos de
trabalhos de outros estudantes. O sistema de computao prov mecanismos
para prevenir que terceiros leiam os arquivos de um usurio qualquer. Ana
falhou em usar tais mecanismos e Jos conseguiu copiar os arquivos. Uma
brecha na segurana ocorreu e Jos violou a poltica de segurana. A falha
de Ana em proteger seus arquivos no autoriza Jos a copi-los
Caso Jos pudesse apenas ver os arquivos, sem copi-los, haveria violao
da poltica?
(C) 2004-2006 Gustavo Motta

18

Polticas e mecanismos (4)

Objetivos da segurana
Uma poltica de segurana especifica as aes seguras e aquelas no
seguras
Mecanismos de segurana visam prevenir, detectar ou recuperar-se de ataques
Preveno: visa impedir o sucesso dos ataques ideal
Envolve a implementao de mecanismos que os usurios no possam ignorar, para os
quais se supe uma implementao correta e no vulnervel

Deteco: visa determinar que um ataque est ocorrendo ou que j ocorreu

Monitora, mas no impede ataques permite conhec-los melhor

Recuperao complexo porque a natureza de cada ataque diversa

Pra o ataque, avalia e repara os danos
O sistema continua a operar corretamente, mesmo quando o ataque sucede
(C) 2004-2006 Gustavo Motta

19

Polticas e mecanismos (4)

Exemplo: preveno
Caso algum pretenda violar um servidor a partir da Internet e este no est
conectado rede, ento preveniu-se do ataque

Exemplo: deteco
Mecanismo que fornece uma advertncia quando um usurio entra mais de
trs vezes com uma senha incorreta. O login continua mas o registro fica para
fins de auditoria

Exemplo: recuperao
Caso um atacante delete um arquivo, o mecanismo de recuperao pode
restaur-lo da lixeira ou(C)do2004-2006
backupGustavo Motta

20

Suposio e confiana (1)

Permeiam todos os aspectos de segurana
A segurana baseia-se em suposies especficas para o tipo de segurana
requerido e para o ambiente no qual ser empregada

Polticas
Consistem num conjunto de axiomas que os formuladores das polticas
acreditam ser exeqveis
Suposies
A poltica particiona o conjunto de estados do sistema em estados seguros e em
estados inseguros determina o que um sistema seguro
Captura corretamente os requisitos de segurana
(C) 2004-2006 Gustavo Motta

21

Suposio e confiana (2)

Exemplo: back door e confiana
Precisa-se de uma chave para abrir a fechadura de uma porta. Assume-se que
a fechadura segura contra arrombamentos. Essa suposio tratada como
um axioma e feita porque, em geral, as pessoas s conseguem abrir a porta
com uma chave. Um bom arrombador, entretanto, pode abrir a porta sem uma
chave. Logo, num ambiente com um arrombador habilidoso e no confivel,
tal suposio errada e a conseqncia invlida.
Uma exceo bem definida para as regras oferece a porta dos fundos (back
door) pela qual o mecanismo de segurana pode ser contornado
A confiana reside na crena de que o back door no ser usado, exceto como
especificado na poltica
(C) 2004-2006 Gustavo Motta

22

Suposio e confiana (3)

Mecanismos
Suposies
Os mecanismos de segurana previnem o sistema de entrar em estados inseguros
a poltica de segurana pode ser imposta pelos mecanismos
Os mecanismos de segurana funcionam corretamente
Hardware, infra-estrutura, redes, etc

Caso alguma suposio no se verifique, o sistema no ser seguro

(C) 2004-2006 Gustavo Motta

23

Suposio e confiana (4)

Tipos de Mecanismos

seguro

preciso

Conjuntodeestados
alcanveisR
(C) 2004-2006 Gustavo Motta

abrangente
Conjuntodeestados
segurosQ
24

Um mecanismo de segurana seguro se R Q; ele preciso se R = Q; e ele abrangente

Suposio e confiana (5)

Confiar no funcionamento correto dos mecanismos requer
vrias suposies
Cada mecanismo foi projetado para implementar uma ou mais partes da
poltica de segurana
A unio dos mecanismos implementa todos os aspectos da poltica de
segurana
Os mecanismos esto implementados corretamente
Os mecanismos esto instalados e administrados corretamente
(C) 2004-2006 Gustavo Motta

25

Garantia (1)
A confiana no pode ser quantificada precisamente
A especificao, o projeto e a implementao de um sistema provem a base para
determinar o quanto se pode confiar nele
A garantia a confiana de que uma entidade satisfaz seus requisitos de segurana,
baseada em evidncias especficas fornecidas pela aplicao de tcnicas de garantia
O quanto se pode confiar que o que sistema realmente faz aquilo que se supe que ele
faz
Demonstrao de que sistema em funcionamento no violar as especificaes
argumentos e provas
Processo de software estabelecido qualidade de produto
Embora as tcnicas de garantia no assegurem a correo ou a segurana, elas provem uma
base firme avaliar em que se pode confiar a fim de acreditar que um sistema seguro

(C) 2004-2006 Gustavo Motta

26

Garantia (2)

Definio de requisitos que explicitamente estabelece as

expectativasdeseguranadosmecanismos

Polticas
Garantia

Prover uma justificativa de que o mecanismo atende a poltica

atravs de evidncia de garantia e aprovaes baseadas em
evidncia

Mecanismos

Entidades executveis que so projetadas e implementadas para

atenderosrequisitosdapoltica

Relacionamentos entre garantia, polticas e mecanismos

(C) 2004-2006 Gustavo Motta

27

Questes operacionais (1)

A preocupao com a segurana no termina com a
concluso de um sistema
Um sistema seguro pode ser violado pela operao imprpria
A questo como avaliar o efeito das questes operacionais na
segurana

(C) 2004-2006 Gustavo Motta

28

Questes operacionais (2)

Anlise de custo-benefcio
Pesa o custo de proteger dados e recursos contra os custos associados com
a violao da segurana
mais barato prevenir ou recuperar?

Consideraes
Sobreposio de efeitos de mecanismos
Exemplo: criptografia

Os aspectos no tcnicos dos mecanismos

Eles podem ser empregados efetivamente

Facilidade de uso, aceitao ...

O efeito desejado com o mecanismo pode no ser o obtido
(C) 2004-2006 Gustavo Motta

29

Questes operacionais (3)

Anlise de risco
O que acontece se dados e recursos forem comprometidos?
Ajuda a determinar o que se deve proteger e com qual nvel de proteo
Requer uma anlise das ameaas potenciais contra um bem e as chances delas
ocorrerem
O nvel de proteo em funo da probabilidade do ataque ocorrer e dos seus
efeitos
Proteger-se contra um ataque de baixa probabilidade menos importante que se proteger
de um ataque de alta probabilidade
Isso nem sempre verdade!

(C) 2004-2006 Gustavo Motta

30

Questes operacionais (4)

Leis e clientes
Leis restringem a disponibilidade e uso de tecnologias e afetam
procedimentos de controle
Leis especficas para informaes clnicas de paciente determinam polticas e
controles a serem adotados

Normas, procedimentos, resolues no mbito das organizaes

A sociedade distingue prticas legais das aceitveis
Medidas de segurana ilegais ou inaceitveis podem cair no descrdito ou dar a
falsa sensao de segurana
(C) 2004-2006 Gustavo Motta

31

Questes humanas (1)

Problemas organizacionais
Poder e responsabilidade
Aqueles responsveis pela segurana tm o poder para imp-la?

Benefcios financeiros
Os investimentos em segurana no trazem rendimentos, mas apenas previnem
a perda de rendimentos provenientes de outras fontes
Perdas decorrentes de falhas de segurana so um grande incentivo para
realizao dos investimentos

(C) 2004-2006 Gustavo Motta

32

Questes humanas (2)

Problemas com pessoal
Maior fonte de problemas com segurana
Pessoal interno
Acesso autorizado, mas uso no autorizado (80-90% dos problemas de segurana)
Treinamento inadequado e. g., problemas de configurao

Pessoal externo
Acesso no autorizado

Engenharia social

(C) 2004-2006 Gustavo Motta

33

Resumo (1)
Ameaas
Polcias
Especificao
Projeto
Implementao
Operao
(C) 2004-2006 Gustavo Motta

34

Resumo (2)
ti ca
l
o
s
P
o
Objetivos
r v eirequisitos
e
Auditoria

n
c
Auditoria

Te

s
S
Autenticao
l og
Regras eoprocedimentos

Criptografia
Assinatura
Eletrnica
CABP ...

Controle

de acesso

No repudiao
Definio
de autoridades

Me
ca
ni
sm
os

Definio
de domnios
Confidencialidade
s
e
dr
Pa

X.509
LDAP
NIST
CABP ...

Inclui legislao

Integridade

Planejamento de
Disponibilidade

implantao

Acompanhamento
(C) 2004-2006 Gustavo Motta

35

Referncias

BRINKLEY, D. L.; SCHELL, R. R. Concepts and terminology for computer security.

In: ABRAMS, M. D.; JAJODIA, S.; PODELL, H. J. (Ed.). Information security: an
integrated collection of essays. Los Alamitos, CA: IEEE Computer Society Press, jan.
1995. p. 40-97.

HOWARD, J. D. An analysis of security incidents on the internet: 1989-1995. 1997.

Tese de Doutorado Carnegie Mellon University, Pittsburgh, Pennsylvania, EUA.

JOSHI, J. B. D.; AREF, W. G.; GHAFOOR, A.; SPAFFORD, E. H. Security models for
web-based applications. Communications of the ACM, v. 44, n. 2, p. 38-44, fev. 2001.

SHIREY, R. Security Architecture for Internet Protocols: A Guide for Protocol

Designs and Standards, Internet Draft: draft-irtf-psrg-secarch-sect1-00.txt (Nov. 1994).

STALLINGS, W. Cryptography and network security: principles and practice. 2. ed.

Prentice Hall, 1999. 569 p.
(C) 2004-2006 Gustavo Motta

36