1 Introduo segurana computacional

Definio formal de segurana computacional Ameaas Polticas e mecanismos

Suposio e confiana
Garantia Questes operacionais Questes humanas
(C) 2004-2006 Gustavo Motta 1

Definio de segurana computacional (1)

Segurana computacional
Prevenir que atacantes alcancem seus objetivos atravs do acesso no autorizado ou uso no autorizado dos computadores e suas redes (Howard, 1997)
Acesso no autorizado: ocorre quando um indivduo tenta acessar informaes ou recursos sem a devida autoridade Uso no autorizado: ocorre quando um indivduo com autoridade para acessar informaes ou recursos de um certo modo tenta acess-las de outras formas
(C) 2004-2006 Gustavo Motta 2

Definio de segurana computacional (2)

Atacantes Meios Comandos de usurios Programas ou scripts Agentes autnomos
Vulnerabilidade implementao Vulnerabilidade projeto Vulnerabilidade configurao

Acesso Acesso no autorizado Uso no autorizado Processos (arquivos ou dados em trnsito) Servios de segurana

Resultados Corrupo da informao Revelao da informao Roubo de servio Recusa de servio

Objetivos Desafio, status Ganho poltico Ganho financeiro Causar perdas

Hackers
Espies Terroristas Agressores internos Criminosos Profissionais Vndalos

Toolkits
Ferramentas distribudas Grampo de Dados

(C) 2004-2006 Gustavo Motta Taxonomia de ataques a redes e computadores

Definio de segurana computacional (3)

Segurana computacional
A segurana em um sistema de informao (SI) visa proteg-lo contra ameaas confidencialidade, integridade e disponibilidade das informaes e dos recursos sob sua responsabilidade (Brinkley & Schell, 1995; Joshi et al., 2001)

(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (4)

Confidencialidade (1)
a manuteno do sigilo das informaes ou dos recursos A violao da confidencialidade ocorre com a revelao no autorizada da informao ou dos recursos

A preveno contra as ameaas confidencialidade em SI pode ser alcanada com a aplicao de mecanismos de controle de acesso e com tcnicas de criptografia e de segurana de redes
A confidencialidade tambm se aplica a mera existncia de um dado, que pode ser mais importante do que o dado em si Todos os mecanismos que impem confidencialidade requerem servios (C) 2004-2006 Gustavo Motta 5 para suport-los suposies e confiana

Definio de segurana computacional (5)

Confidencialidade (2)
Exemplo: criptografia como mecanismo de controle de acesso
A criptografia do extrato de uma conta corrente previne algum de l-lo. Caso o correntista precise de ver o extrato, ele precisa ser decifrado. Apenas o possuidor da chave criptogrfica, utilizando o programa de decifrao, pode faz-lo. Entretanto, se outrem conseguir ler a chave, a confidencialidade do extrato fica comprometida O problema da confidencialidade do extrato se reduz agora confidencialidade da chave criptogrfica, que deve ser protegida

Exemplo: proteo da existncia de um dado

Saber que um indivduo um cliente VIP de um banco pode ser mais importante que saber quais/quantos so os recursos que ele possui aplicados

(C) 2004-2006 Gustavo Motta

Definio de segurana computacional (6)

Integridade (1)
Refere-se a confiabilidade da informao ou dos recursos A violao da integridade ocorre pela modificao imprpria ou no autorizada da informao ou dos recursos

Integridade de dados
Confiabilidade do contedo dos dados

Integridade de origem
Confiabilidade da fonte dos dados autenticao
Sustenta-se na acurcia e na credibilidade da fonte e na confiana que as pessoas depositam na informao (C) 2004-2006 Gustavo Motta 7

Definio de segurana computacional (7)

Integridade (2)
Classes de mecanismos para integridade
Mecanismos de preveno
Objetivam manter a integridade dos dados com o bloqueio de qualquer tentativa no autorizada de modific-los ou qualquer tentativa de modific-los por meios no autorizados acesso e uso no autorizados Autenticao e controle de acessos adequados, em geral, so eficazes para prevenir o acesso no autorizado O uso no autorizado requer formas de controle distintas, sendo mais difcil de prevenir

Mecanismos de deteco
Buscam reportar que a integridade dos dados no mais confivel, em parte ou no todo
A criptografia pode ser usada para detectar violaes de integridade

A avaliao da integridade de difcil realizao por basear-se em (C) 2004-2006 Gustavo Motta 8 suposies sobre a fonte dos dados e da sua confiabilidade

Definio de segurana computacional (8)

Integridade (3)
Exemplo: corrupo da integridade de origem
Um jornal pode noticiar uma informao obtida de um vazamento no Palcio do Planalto, mas atribu-la a uma fonte errada. A informao impressa como recebida (integridade dos dados preservada), mas a fonte incorreta (corrupo na integridade de origem )

Exemplo: distino entre acesso e uso no autorizados

Num sistema contbil, o acesso no autorizado ocorre quando algum quebra a segurana para tentar modificar o dado de uma conta, por exemplo, para quitar um dbito, sem autoridade para tal

Agora, quando o contador da empresa tenta apropriar-se de dinheiro desviando-o para contas no exterior e ocultado respectivas transaes, ento ele est abusando de sua autoridade embora possa, ele no deve faz-lo
(C) 2004-2006 Gustavo Motta 9

Definio de segurana computacional (9)

Disponibilidade (1)
Refere-se a capacidade de usar a informao ou o recurso desejado
A violao da disponibilidade ocorre com a reteno no autorizada de informaes ou recursos computacionais
Ataques de recusa de servio denial of service attacks

Usualmente definido em termos de qualidade de servio

Usurios autorizados esperam receber um nvel especfico de servio, estabelecido em termos de uma mtrica

Mecanismos para preveno/deteco eficazes so difceis de implementar e podem ser manipulados

(C) 2004-2006 Gustavo Motta 10

Definio de segurana computacional (10)

Disponibilidade (2)
Exemplo: manipulao de mecanismos de disponibilidade
Suponha que Ana tenha comprometido o servidor secundrio de um banco, que fornece os saldos das contas correntes. Quando algum solicita informaes ao servidor, Ana pode fornecer a informao que desejar. Caixas validam saques contatando o servidor primrio. Caso ele no obtenha resposta, o servidor secundrio solicitado. Um cmplice de Ana impede que caixas contactem o servidor primrio, de modo que todos eles acessam o servidor secundrio. Ana nunca tem um saque ou cheque recusado, independente do saldo real em conta Note que se o banco tivesse apenas o servidor primrio, este esquema no funcionaria o caixa no teria como validar o saque
(C) 2004-2006 Gustavo Motta 11

Ameaas (1)
Ameaa
Uma ameaa uma potencial violao de segurana As aes que podem acarretar a violao so denominadas de ataques Aqueles que executam tais aes so denominados de atacantes Os servios de suporte a mecanismos para confidencialidade, integridade e

disponibilidade visam conter as ameaas segurana de um sistema

(C) 2004-2006 Gustavo Motta

12

Ameaas (2)
Classes de ameaas (Stallings, 1999)
Preveno Confidencialidade Disponibilidade Autenticao Integridade

origem

destino

Ameaas

Fabricao Interceptao Modificao Fluxo normal Interrupo

(C) 2004-2006 Gustavo Motta 13

Ameaas (3)
Classes de ameaas (Shirey, 1994)
Disclosure: acesso no autorizado informao
Snooping (bisbilhotar): ataque passivo o grampo telefnico o exemplo clssico

Deception: aceitao de dados falsos, induo ao erro

Modificao (alterao), spoofing (masquerading ou logro), repudiao de origem, repudiao de recebimento

Disruption: interrupo ou preveno da operao correta de um sistema

Modificao

Usurpao
Modificao, spoofing, delay, recusa de servio

(C) 2004-2006 Gustavo Motta

14

Ameaas (4)
Masquerading Delegao
Masquerading ocorre quando uma entidade personificada por outra
Delegao ocorre quando uma entidade autoriza outrem a realizao aes em seu interesse
Todas as partes so cientes da delegao, que pode ser verificada junto ao delegante

Exemplo: delegao por motivo de frias

Quando Ana sai de frias no banco, ela delega para Jos a autoridade (menos a capacidade de delegar) para que ele atuar em seu interesse. Nesse caso, Jos no finge ser Ana, mas pode afirmar que atua no interesse dela, que pode confirmar isto Contrariamente ao masquerading, a delegao no uma violao de segurana
(C) 2004-2006 Gustavo Motta 15

Polticas e mecanismos (1)

Poltica de segurana
uma diretriz de alto nvel que determina o que permitido e o que proibido
Em geral, so expressas em linguagem natural ambigidades e incompletudes Brinkley & Schell (1995) definem o conceito de poltica tcnica como sendo a

interpretao da poltica de alto nvel em termos dos relacionamentos formais

entre as entidades ativas (sujeitos), as entidades passivas (objetos) e os modos de acesso (operaes) permitidos
Matemtica precisa, mas difcil de trabalhar e de entender: descrita em termos de

estados permitidos (seguros) e proibidos (no seguros)

Linguagens para expressar polticas alia preciso com facilidade de uso

(C) 2004-2006 Gustavo Motta

16

Polticas e mecanismos (2)

Mecanismo de segurana
um mtodo, ferramenta ou procedimento que pode ser usado para impor uma poltica de segurana
Tcnico: aquele no qual os controles de um sistema impem a poltica
Obrigar um usurio a fornecer uma senha para autentic-lo antes de utilizar um recurso

Procedimental: aquele no qual controles externos ao sistema impem a poltica

Sanes contra aqueles que violam a poltica de segurana

Composio de polticas
Caso as polticas conflitem, as discrepncias podem criar vulnerabilidades de segurana
(C) 2004-2006 Gustavo Motta 17

Polticas e mecanismos (3)

Exemplo: distino entre polticas e mecanismos
Suponha que o laboratrio de computao de uma universidade estabelece
uma poltica que probe qualquer estudante de copiar os arquivos de trabalhos de outros estudantes. O sistema de computao prov mecanismos

para prevenir que terceiros leiam os arquivos de um usurio qualquer. Ana

falhou em usar tais mecanismos e Jos conseguiu copiar os arquivos. Uma brecha na segurana ocorreu e Jos violou a poltica de segurana. A falha de Ana em proteger seus arquivos no autoriza Jos a copi-los Caso Jos pudesse apenas ver os arquivos, sem copi-los, haveria violao da poltica?
(C) 2004-2006 Gustavo Motta 18

Polticas e mecanismos (4)

Objetivos da segurana
Uma poltica de segurana especifica as aes seguras e aquelas no seguras
Mecanismos de segurana visam prevenir, detectar ou recuperar-se de ataques Preveno: visa impedir o sucesso dos ataques ideal
Envolve a implementao de mecanismos que os usurios no possam ignorar, para os quais se supe uma implementao correta e no vulnervel

Deteco: visa determinar que um ataque est ocorrendo ou que j ocorreu

Monitora, mas no impede ataques permite conhec-los melhor

Recuperao complexo porque a natureza de cada ataque diversa

Pra o ataque, avalia e repara os danos O sistema continua a operar corretamente, mesmo quando o ataque sucede
(C) 2004-2006 Gustavo Motta 19

Polticas e mecanismos (4)

Exemplo: preveno
Caso algum pretenda violar um servidor a partir da Internet e este no est
conectado rede, ento preveniu-se do ataque

Exemplo: deteco
Mecanismo que fornece uma advertncia quando um usurio entra mais de trs vezes com uma senha incorreta. O login continua mas o registro fica para fins de auditoria

Exemplo: recuperao
Caso um atacante delete um arquivo, o mecanismo de recuperao pode restaur-lo da lixeira ou(C) 2004-2006 Gustavo Motta do backup
20

Suposio e confiana (1)

Permeiam todos os aspectos de segurana
A segurana baseia-se em suposies especficas para o tipo de segurana
requerido e para o ambiente no qual ser empregada

Polticas
Consistem num conjunto de axiomas que os formuladores das polticas acreditam ser exeqveis
Suposies
A poltica particiona o conjunto de estados do sistema em estados seguros e em
estados inseguros determina o que um sistema seguro Captura corretamente os requisitos de segurana
(C) 2004-2006 Gustavo Motta 21

Suposio e confiana (2)

Exemplo: back door e confiana
Precisa-se de uma chave para abrir a fechadura de uma porta. Assume-se que
a fechadura segura contra arrombamentos. Essa suposio tratada como um axioma e feita porque, em geral, as pessoas s conseguem abrir a porta com uma chave. Um bom arrombador, entretanto, pode abrir a porta sem uma chave. Logo, num ambiente com um arrombador habilidoso e no confivel, tal suposio errada e a conseqncia invlida. Uma exceo bem definida para as regras oferece a porta dos fundos (back door) pela qual o mecanismo de segurana pode ser contornado
A confiana reside na crena de que o back door no ser usado, exceto como especificado na poltica
(C) 2004-2006 Gustavo Motta 22

Suposio e confiana (3)

Mecanismos
Suposies
Os mecanismos de segurana previnem o sistema de entrar em estados inseguros a poltica de segurana pode ser imposta pelos mecanismos

Os mecanismos de segurana funcionam corretamente

Hardware, infra-estrutura, redes, etc

Caso alguma suposio no se verifique, o sistema no ser seguro

(C) 2004-2006 Gustavo Motta 23

Suposio e confiana (4)

Tipos de Mecanismos

seguro

preciso

abrangente

Conjunto de estados alcanveis R

abrangente se existirem estados r2004-2006rGustavo r Q (C) tal que R e Motta

Conjunto de estados seguros Q

24

Um mecanismo de segurana seguro se R Q; ele preciso se R = Q; e ele

Suposio e confiana (5)

Confiar no funcionamento correto dos mecanismos requer vrias

suposies
Cada mecanismo foi projetado para implementar uma ou mais partes da poltica de segurana A unio dos mecanismos implementa todos os aspectos da poltica de segurana Os mecanismos esto implementados corretamente Os mecanismos esto instalados e administrados corretamente
(C) 2004-2006 Gustavo Motta 25

Garantia (1)
A confiana no pode ser quantificada precisamente
A especificao, o projeto e a implementao de um sistema provem a base para determinar o quanto se pode confiar nele
A garantia a confiana de que uma entidade satisfaz seus requisitos de segurana, baseada em evidncias especficas fornecidas pela aplicao de

tcnicas de garantia
O quanto se pode confiar que o que sistema realmente faz aquilo que se supe que ele faz Demonstrao de que sistema em funcionamento no violar as especificaes argumentos e provas Processo de software estabelecido qualidade de produto
Embora as tcnicas de garantia no assegurem a correo ou a segurana, elas provem uma base firme avaliar em que se pode confiar a fim de acreditar que um sistema (C) 2004-2006 Gustavo Motta 26 seguro

Garantia (2)

Polticas

Definio de requisitos que explicitamente estabelece as expectativas de segurana dos mecanismos

Prover uma justificativa de que o mecanismo atende a poltica atravs de evidncia de garantia e aprovaes baseadas em evidncia Entidades executveis que so projetadas e implementadas para atender os requisitos da poltica

Garantia Mecanismos

Relacionamentos entre garantia, polticas e mecanismos

(C) 2004-2006 Gustavo Motta 27

Questes operacionais (1)

A preocupao com a segurana no termina com a concluso de um sistema
Um sistema seguro pode ser violado pela operao imprpria A questo como avaliar o efeito das questes operacionais na segurana

(C) 2004-2006 Gustavo Motta

28

Questes operacionais (2)

Anlise de custo-benefcio
Pesa o custo de proteger dados e recursos contra os custos associados com a violao da segurana
mais barato prevenir ou recuperar?

Consideraes
Sobreposio de efeitos de mecanismos
Exemplo: criptografia

Os aspectos no tcnicos dos mecanismos

Eles podem ser empregados efetivamente

Facilidade de uso, aceitao ...

O efeito desejado com o mecanismo pode no ser o obtido
(C) 2004-2006 Gustavo Motta 29

Questes operacionais (3)

Anlise de risco
O que acontece se dados e recursos forem comprometidos?
Ajuda a determinar o que se deve proteger e com qual nvel de proteo
Requer uma anlise das ameaas potenciais contra um bem e as chances delas

ocorrerem
O nvel de proteo em funo da probabilidade do ataque ocorrer e dos seus efeitos
Proteger-se contra um ataque de baixa probabilidade menos importante que se proteger de um ataque de alta probabilidade Isso nem sempre verdade!

(C) 2004-2006 Gustavo Motta

30

Questes operacionais (4)

Leis e clientes
Leis restringem a disponibilidade e uso de tecnologias e afetam
procedimentos de controle
Leis especficas para informaes clnicas de paciente determinam polticas e

controles a serem adotados

Normas, procedimentos, resolues no mbito das organizaes A sociedade distingue prticas legais das aceitveis
Medidas de segurana ilegais ou inaceitveis podem cair no descrdito ou dar a
falsa sensao de segurana
(C) 2004-2006 Gustavo Motta 31

Questes humanas (1)

Problemas organizacionais
Poder e responsabilidade
Aqueles responsveis pela segurana tm o poder para imp-la?

Benefcios financeiros
Os investimentos em segurana no trazem rendimentos, mas apenas previnem a perda de rendimentos provenientes de outras fontes

Perdas decorrentes de falhas de segurana so um grande incentivo para

realizao dos investimentos
(C) 2004-2006 Gustavo Motta 32

Questes humanas (2)

Problemas com pessoal
Maior fonte de problemas com segurana
Pessoal interno
Acesso autorizado, mas uso no autorizado (80-90% dos problemas de segurana) Treinamento inadequado e. g., problemas de configurao

Pessoal externo
Acesso no autorizado

Engenharia social

(C) 2004-2006 Gustavo Motta

33

Resumo (1)
Ameaas Polcias
Especificao Projeto

Implementao Operao
(C) 2004-2006 Gustavo Motta 34

Resumo (2)
Criptografia Assinatura Eletrnica CABP ...

Objetivos e requisitos
Autenticao Regras e procedimentos

Definio de domnios Confidencialidade

No repudiao Definio de autoridades

Auditoria Inclui legislao Controle de acesso

Planejamento de implantao Acompanhamento

Integridade

X.509 LDAP NIST CABP ...

Disponibilidade

(C) 2004-2006 Gustavo Motta

35

Referncias
BRINKLEY, D. L.; SCHELL, R. R. Concepts and terminology for computer security. In: ABRAMS, M. D.; JAJODIA, S.; PODELL, H. J. (Ed.). Information security: an integrated collection of essays. Los Alamitos, CA: IEEE Computer Society Press, jan. 1995. p. 40-97. HOWARD, J. D. An analysis of security incidents on the internet: 1989-1995. 1997. Tese de Doutorado Carnegie Mellon University, Pittsburgh, Pennsylvania, EUA.

JOSHI, J. B. D.; AREF, W. G.; GHAFOOR, A.; SPAFFORD, E. H. Security models for web-based applications. Communications of the ACM, v. 44, n. 2, p. 38-44, fev. 2001.
SHIREY, R. Security Architecture for Internet Protocols: A Guide for Protocol Designs and Standards, Internet Draft: draft-irtf-psrg-secarch-sect1-00.txt (Nov. 1994).

STALLINGS, W. Cryptography and network security: principles and practice. 2. ed. Prentice Hall, 1999. 569 p.

(C) 2004-2006 Gustavo Motta

36