UNIC - UNIVERSIDADE DE CUIABÁ

ANÁLISE DE RISCOS

PÓS-GRADUAÇÃO EM SEGURANÇA
DE INFORMAÇÃO

ANÁLISE DE RISCO

Professor: Antônio João de Arruda Cebalho

 SEGURANÇA DAS INFORMAÇÕES

PROGRAMA DE SEGURANÇA
O GERENCIAMENTO DE RISCO, É UM COMPONENTE
IMPORTANTE DO PROGRAMA DE SEGURANÇA DE TI.

A PRINCIPAL META DE UM PROCESSO DE

GERENCIAMENTO DE RISCO, DEVE SER PROTEGER A
ORGANIZAÇÃO E SUA CAPACIDADE DE REALIZAR A
SUA MISSÃO.

O GERENCIAMENTO DE RISCO É UM PROCESSO QUE:

- PROCURA IDENTIFICAR O RISCO;
- PLANEJA OS PASSOS NECESSÁRIOS PARA REDUZIR O
RISCO A UM NÍVEL ACEITÁVEL.
 INTRODUÇÃO

 A ISO/IEC 17799 PRECONIZA:

A ESCOLHA DO ESCOPO PARA UMA ANÁLISE DE

RISCOS É LIVRE, OU SEJA, O ESCOPO DEVE CONTER
OS ATIVOS QUE A EMPRESA CONSIDERA RELEVANTES,
E ISSO PODE:

A- ABRANGER TODA A EMPRESA;

B- ABRANGER UM DEPARTAMENTO ESPECÍFICO;

C- ABRANGER UM PROCESSO DETERMINADO (COMO O

DESENVOLVIMENTO DE SOFTWARE) OU ATÉ MESMO
UM ÚNICO SERVIDOR DE BANCO DE DADOS OU UM
SISTEMA ESPECÍFICO;
 INTRODUÇÃO

 A DEFINIÇÃO ADEQUADA DO ESCOPO:

 AO SE INCLUIR NO ESCOPO ATIVOS QUE NÃO SÃO

RELEVANTES, ONERA-SE O CUSTO DA ANÁLISE
(ALOCAÇÃO DE ESPECIALISTAS, GESTÃO DO
PROJETO, DOWNTIME DE OPERADORES
ENTREVISTADOS, ETC).

 AO SE DEIXAR DE FORA DO ESCOPO ATIVOS E

COMPONENTES RELEVANTES, OS RESULTADOS
FICAM PREJUDICADOS POIS NESTE CASO EXISTIRÁ
APENAS UMA VISÃO PARCIAL DOS RISCOS.
SEGURANÇA – ADMINISTRAÇÃO DOS RISCOS

EXPLORAM

AMEAÇAS VULNERABILIDADES

AUMENTAM AUMENTAM

PROTEGEM CONTRA EXPÕEM

DIMINUEM AUMENTAM
POLÍTICAS RISCOS ATIVOS

IMPLEMENTADAS COM TEM

INDICAM
AUMENTAM

NECESSIDADES
DE SEGURANÇA VALORES E IMPACTO
POTENCIAL A ATIVOS

Fonte: ISO/IEC 13335-3:1998

ESCOPO DE UM PROGRAMA DE SEGURANÇA
PROGRAMA DE
SEGURANÇA

1- 2- POLÍTICA DE 3-INFRA- 4-
LEVANTAMENTO SEGURANÇA ESTRUTURA GERENCIAMENTO

A- PLANEJAR
GERENCIAMENTO DE
INFRA-ESTRUTURA

B- PLANEJAR REVISÕES
A-FORMAR COMITÊ A- ESTUDO E DAS POLÍTICAS DE
A- CLASSIFICAR RECOMENDAÇÕES SEGURANÇA
ATIVOS B- ELABORAR
NORMAS B- PROJETO C- PLANEJAR ANÁLISES
B-ANALISAR DAS VULNERABILIDADES
VULNERABILIDADES C- ELABORAR C- AQUISIÇÃO DE
E RISCOS PROCEDIMENTOS FERRAMENTAS D- PLANEJAR AUDITORIAS
DOS PROCEDIMENTOS
C-TESTAR D- PUBLICAR E D- INSTALAR E
INTRUSÕES DISSIMINAR CONFIGURAR HW E SW E- PLANEJAR TESTES DE
INTRUSÃO PERIÓDICOS
D-RECOMENDAÇÕES
F- PLANEJAR TRATAMENTO
DE INCIDENTES DE
SEGURANÇA
O que é segurança?
 Segurança:
 Significa muitas coisas diferentes
 para diferentes pessoas
 em situações diferentes
 Segurança significa dificultar/impedir ocorrência
de eventos indesejados
Mas… que eventos indesejados?
Perguntar se “X é seguro” não faz sentido!
- Seguro contra o que?
 SINISTROS: OCORRÊNCIAS INDESEJÁVEIS
 ACIDENTAIS
 Em geral causados por falhas naturais dos sistemas,
máquinas ou pessoas; ou razões ambientais fora do
nosso controle
 Exemplos: incêndios, enchentes, blecaute,
naufrágio, tsunamis, queima de componente...
 Costumam ser quantificáveis estatisticamente
- Ou seja, muitas vezes sabe-se a freqüência média
típica com que ocorrem
 Facilita ponderar custo vs benefício das medidas de
proteção
 Costuma ser mais fácil de tratar
 INTENCIONAIS
 Exemplos: fraude, terrorismo/sabotagem,
exposição de segredos
 Muito difíceis de prever,
prever muitíssimo mais difíceis de
tratar
 Em certas situações, prevenção é mais viável que
correção; em outras, vice-versa
 SEGURANÇA DA INFORMAÇÃO
 Segurança contra indisponibilidade:
Cópias de reserva (backups)
Planos de contingência/recuperação de
desastres. Ex:
- Incêndio/inundação/pane elétrica na sala
dos servidores?
•Salas-cofre
•No-breaks
•Grupo Gerador
•Reservas (“Backups”)
•CPD/Data center reserva
•Cópias em fita, etc
•Storage Reserva
•Sistemas redundantes
 SEGURANÇA DA INFORMAÇÃO (CONT.)
 Segurança contra acesso
indevido
 Autenticação: nome & senha,
tokens, biométrica, chaves
públicas;
 Controle de acesso: firewalls,
portas, fechaduras, cofres,
criptografia (confidencialidade)
 Segurança contra adulteração
 Integridade: CRCs, códigos
corretores de erros,
assinaturas digitais, dual
bookkeeping (estrutura de
linguagem)
 SEGURANÇA DA INFORMAÇÃO (CONT.)
 Segurança contra omissões técnicas
 Vulnerabilidades: “bugs” (erro ou omissão do
programador) que compromete outros aspectos de
segurança
 Área em franca expansão mas que ainda é ausente
nos currículos tradicionais das escolas de
informática
- Somente de uns anos pra cá sendo sistematizada e
começando a ser abordadas em livros-texto
- Fé cega no código “invisível”
 Endêmico: praticamente todo software tem
vulnerabilidades
 Embaraçoso e ainda pouco se admite
- Mas vem melhorando ao longo dos anos
 INTERCEPTAÇÃO

Admins do site ou invasores

podem monitorar o tráfego
ou dados do servidor ou rede
de destino

O administrador
do ISP pode ver
emails
armazenados
enquanto o
Agências de Inteligência usuário não os
monitoram links e grandes baixa.
provedores de backbone

POPs podem
fazer capturas de proxy web email
pacotes
ISP
Não é difícil interceptar ofirewall
tráfego O proxy contém cópias das
dos vizinhos em “apartnets” e páginas recentemente
certos sistemas de banda larga acessadas, para economizar
o link de saída do ISP
 Exemplo de Captura: POP3

16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S

6928467:6928467(0) win 8192 <mss 1460> (DF)
16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S
3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF)
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win
8760 (DF)
16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47)
ack 1 win 8760 (DF)
4500 0057 dd14 4000 fe06 07f0 c885 2201 : E..W..@.......".
Início
ac10 0105 da conexão
006e 0415 c245 8897 0069 b854 : .....n...E...i.T
5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP
TCP
2028 (3-way handshake)
7665 7273 696f 6e20 322e 3533 2920 : (version 2.53)
6174 2063 6170 6962 6120 7374 6172 7469 : at capiba starti
6e67 2e20 200d 0a : ng. ..
16:15:14.680000 172.16.1.5.1045
Dados > do
capiba.cesar.org.br.pop3:
protocolo P 1:12(11)
ack 48 win 8713 (DF)
passando
4500 0033 870c 4000 2006 3c1d ac10às0105
claras
: E..3..@. .<.....
c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E..
5018 2209 4e42 0000 5553 4552 206d 6d6d : P.".NB..USER mmm
6d0d 0a : m..
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: . ack 12 win
8760 (DF) Identificação do usuário
passando às claras
 Exemplo de captura: POP3
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33)
ack 12 win 8760 (DF)
4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......".
ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._
5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass
776f 7264 2072 6571 7569 7265 6420 666f : word required fo
7220 6d6d 6d6d 2e0d 0a : r mmmm...
16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17)
ack 81 win 8680 (DF)
4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;.....
c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E..
5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l
6c61 2a67 616d 2a0d 0a : @f1t@..

Senha do usuário
passando às claras
 Interceptação
 Interceptação na rede é quase indetectável
 Toda a rede é se baseia na facilidade de copiar dados;
portanto, copiar não perturba o funcionamento da
rede
 Administradores têm motivos legítimos
 Manutenção:
Manutenção depuração e correção de problemas
 Exemplo: “double-bounce”
double-bounce de email por estouro de
quota de disco
 Anti-vírus, Sistemas de Detecção de Intrusão e Filtros
Anti-Spam rotineiramente analisam e classificam o
tráfego em busca de dados danosos ou indesejados
 Abusos existem mas raros...
raros admins em geral têm mais
o que fazer do que ficar bancando o voyeur
 Sistemas mal cuidados são passíveis de invasão
 Invasores tornam-se tão ou mais poderosos que os
admins
 Têm mais tempo, mais motivação,... e menos ética
 Bancos de Dados
 Tal como na rede, o DBA (DataBase Administrator)
pode acessar tudo: “poder absoluto local”
local
 Segurança dos backups
 Roubo de mídia (fitas) de backup
 Intercâmbio de dados pessoais e mailing lists entre
empresas e instituições
 Registros médicos, policiais, bancários, etc...
 Ética médica diz que o paciente é o dono da
informação e ele somente deve determinar quem
pode vê-la (exceto em caso de emergência)
 Novamente: sistemas mal cuidados são passíveis de
invasão
 Pressões às quais vocês cederão
 Prazos e custos
 No mundo do artesanato de software,
software seus
gerentes e líderes de projeto vão lhe pressionar
para terminar pra ontem e freqüentemente com
recursos (financeiros e humanos) insuficientes
para a complexidade da tarefa.
 Resultado: vocês farão todo tipo de gambiarra
para terminar a tempo e manter seus empregos.
 E por conseguinte, terão mais chances de
cometer erros... alguns dos quais virarão
vulnerabilidades... que poderão ser descobertas e
exploradas por alguém... cedo ou tarde.
 Solução (nem sempre viável): resista.
resista Insista em
fazer bem feito.
Para saber mais na web...

 www.securityfocus.com
 www.ross-anderson.com
 www.slashdot.org
 www.phrack.org
 www.cert.org
 www.infoguerra.com.br
 www.tempest.com.br
 www.freeicp.org Só esses têm algo
Auto-promoção em português...
desavergonhada