SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

objetivo: Será realizada uma imersão no mundo de segurança de informação, onde serão abordadas definições, leis globais e nacionais, mecanismos de segurança, politicas, etc.

CONCEITOS BÁSICOS

Grande maioria das empresas deixam a desejar - Independente do porte -
Acabou se tornando uma cultura na maioria dos negócios, seja por falta de conhecimento sobre o problema, ou por falta de dinheiro.

É muito importante que mecanismos de segurança de sistemas de informação sejam projetados de maneira a prevenir acessos não autorizados aos recursos e dados destes sistemas

A segurança da informação, antes de tudo, é uma questão estratégica

"Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”

Atributos básicos da segurança da informação, segundo os padrões
internacionais (ISO/IEC 17799:2005)

Não Repúdio: Garantir que a pessoa não negue ter assinado ou criado a informação

Autenticidade: Garantir que a informação é autêntica

Confidencialidade: Garantir que a informação seja acessada somente por pessoas autorizadas

Integridade: Garantir a exatidão da informação (que a informação não seja modificada)

Disponibilidade: Garantir que a informação esteja sempre disponível

AMEAÇAS

Relacionadas diretamente à perda de um de seus atributos básicos

Acidental: falha no hardware ou no software

Intencional: planejada e premeditada, por exemplo, capturas não autorizadas de pacotes na rede

Situações que pode encadear

Destruição de informações ou recursos

Modificação ou deturpação da informação

Roubo

Remoção ou perda de informação

Revelação de informações confidenciais ou não

Paralisação dos serviços de rede

Mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders)

Os Insiders, são funcionários, ex-funcionários ou colaboradores, que atuam ou atuaram dentro de uma empresa ou fora dela e obtiveram acesso a informações internas.

ATAQUES

Um ataque ocorre quando uma ameaça intencional é realizada

Ataque ativo: tendo por resultado a alteração dos dados

Ataque passivo: tendo por resultado a liberação dos dados

Ataque destrutivo: visando à negação do acesso aos dados ou serviços

Ataques podem ocorrer por

Curiosidade e interesse em adquirir maior conhecimento sobre os sistemas

Chantagem de algum tipo

Espionagem industrial

Venda de informações confidenciais

Ferir a imagem de um governo ou uma determinada empresa ou serviço

Como um sistema pode ter suas informações interceptadas

Violação da privacidade e confidencialidade das informações: entidades não autorizadas

Violação de autenticidade: invasores se passando por uma entidade autêntica

Fluxo normal das mensagens ao destino pode ser interrompido

VULNERABILIDADES

Portabilidade: Aplicativos que são utilizados por diversos dispositivos e versões de sistemas operacionais (aplicativos na nuvem)

A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque

Buffer Overflow: ocorre quando um programa tenta colocar mais dados em buffer que esse buffer possa suportar

Gerenciamento de vulnerabilidade: identificação de medidas adequadas de segurança das informações nas empresas

MECANISMOS DE CONTROLE DE SEGURANÇA

São medidas que visam controlar o acesso às informações

CONTROLE DE ACESSO (PROTOCOLOS AAA)

Pilares da segurança da informação

Identificação

Autenticação

Autorização

Auditoria

Tipos de controle de acesso

Controle de Acesso centralizado

Utiliza uma entidade central, um sistema ou usuário, para tomar as decisões sobre acesso aos recursos

Garante padronização do acesso às informações

Impede superposição de direitos

Qualquer falha no sistema central impede o acesso às informações

Controle de Acesso descentralizado

Utiliza as entidades mais próximas dos recursos para gerenciar melhor os problemas sob sua supervisão

Uma falha no sistema de controle de acesso não interfere no acesso aos demais sistemas, desde que não haja dependência entre eles

A perda da padronização do acesso às informações, e a possibilidade de superposição de direitos causam furos de segurança

Controle de Acesso mandatório (MAC)

Usado em sistemas de múltiplos níveis com dados altamente sensíveis

Administradores do sistema definem os níveis de privilégio dos usuários e a política de acesso

Há a construção de um sistema manipulador de múltiplos níveis de classificação entre sujeitos, nível de privilégios, e objetos, nível de sensibilidade da informação

Controle de Acesso discricionário (DAC)

O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem

Todo objeto nesse sistema deve ter um proprietário e os que estão sem são considerado não protegidos

Os indivíduos podem pertencer a um ou mais grupos, podendo adquirir permissões cumulativas

Processo de Autenticação

  1. Algo que o usuário é: Impressão digital, padrão de retina, reconhecimento de assinatura
  1. Algo que o usuário tem: Cartões de identificação, smart cards, tokens USB.

3. Algo que o usuário conhece: Senhas fixas, one-time passwords, sistemas de desafioresposta.

  1. Onde o usuário está: Localização GPS.

Uma autenticação que consiste no uso de mais de um modo é chamada de autenticação forte

Processo de Autorização e Auditoria

O processo de autorização determina se um usuário irá ter autorização ou não para acessar algo

O processo de auditoria é um exame cuidadoso e sistemático das atividades desenvolvidas no sistema

Objetivo é averiguar a qualidade no tratamento das informações, integridade, confidencialidade e disponibilidade dos dados

PROTEÇÃO A INVASÃO

O firewall controla a transferência de dados entre o computador e a internet

Diferença entre firewall e antivirus

Enquanto o firewall controla o acesso ao PC ou à rede durante o fluxo de dados, o antivírus combate pragas e arquivos infectados que podem vir em arquivos ou programas baixados pelo usuário

PRIVACIDADE DE DADOS

Caso da Cardsystem Solution

Criptografia

Considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código

Proteger os dados sigilosos armazenados em seu computador ou sistemas

Proteger seus backups contra acesso indevido, principalmente aqueles enviados para áreas de armazenamento externo de mídias

Proteger as comunicações realizadas pela Internet, como os e-mails enviados/recebidos e as transações bancárias e comerciais realizadas

Criptografia de chave simétrica (secreta ou única)

Utiliza uma única chave para codificar e decodificar informações

AES, Blowfish, RC4,
3DES e IDEA

Criptografia de chave assimétrica (pública)

RSA, DSA, ECC e Diffie-Hellman

Utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente o outro chave par pode decodificá-la

Chave simétrica é usada para a codificação da informação

Chaves assimétricas é utilizada para o compartilhamento da chave secreta

Uso combinado é o que é utilizado pelos navegadores Web e programas leitores de e-mails. Exemplos: SSL, PGP e S/MIME

Função Hash

Quando aplicado sobre uma informação, gera um resultado único, irreversível e de tamanho fixo, chamado Hash

Pode utilizá-lo para verificar a integridade de um arquivo armazenado em seu computador ou backups; ou de um arquivo obtido da Internet e gerar assinaturas digitais

SHA-1, SHA-256 e MD5

CERTIFICADO E ASSINATURA DIGITAL

O Certificado Digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública

Ele fará um usuário confiar na integridade e privacidade das informações que ali estão sendo passadas

CLASSIFICAÇÃO DOS TIPOS DE HACKERS

O termo "Hacker" na verdade é
destinado para alguém que tem grande conhecimento na área de informática, tanto para
software quanto para hardware e é movido pela curiosidade de saber como tudo isso
funciona

White Hat

Termo utilizado para pessoas que gostam de adquirir conhecimento sobre várias áreas de conhecimento e aprender o funcionamento dos sistemas em geral

São responsáveis por alertar e manter em segurança empresas que possivelmente tenham vulnerabilidades em seus produtos

Black Hat

Também é utilizado para indivíduos que são movidos pela curiosidade

Diferente do "White Hat", eles exploram a vulnerabilidade para benefício próprio

A característica marcante é voltada para seus valores éticos e morais

Script Kiddies

Utilizado para o grupo de indivíduos com pouco conhecimento técnico nas disciplinas que envolvem a área da computação

Se aproveitam de alvos fáceis para aplicar seus poucos conhecimentos

Falta de interesse em adquirir conhecimento computacional

Roubos de cartões de crédito, senha de contas privadas, ataques de negação de serviço

Hacktivismo

Utilizado para o grupo de indivíduos que tem como motivação ideologias ou política

Objetivo de expor o seu alvo ou chamar atenção para determinado movimento

Tipos de ataques mais comuns: DDoS e Web

Insider

Funcionários ou ex-funcionários que prejudicam a corporação na qual trabalha ou já fez parte

Muito prejudicial para uma empresa

Tem acesso ou podem encontrar vulnerabilidade e informações confidenciais

TIPOS DE AMEAÇAS E SUAS DIFERENÇAS

"Toda corporação está vulnerável a ataques provenientes desta conectividade moderna. Os ataques aos sistemas apresentam objetivos diferentes e o seu sucesso depende do grau de segurança dos alvos e da consequente capacidade do hacker em atacá-los"

Dumpster Diving

Ato de vasculhar o lixo corporativo com o objetivo de achar alguma informação de valor

Brute Force

Procedimento usado para descobrir senhas testando todas as combinações possíveis de palavras criadas em uma lista chamada de "wordlist"

Engenharia Social

É uma técnica utilizada por pessoas que conseguem senhas e outras informações confidenciais do seu alvo fingindo ser outra pessoa e simplemente pedindo essas informações

É utilizada a influência, manipulação e a persuasão para enganar e convencer a vítima

Caso uma empresa não tenham políticas de segurança da informação bem definidas, há um grande risco de sofrerem esse tipo de ataque

Packet Sniffing

É o procedimento realizado por uma ferramenta que intercepta e analisa o tráfego de uma rede.

O atacante pode identificar pacotes que estão em tráfego a fim de descobrir informações importantes

Software Desatualizado

Softwares desatualizados não possuem as mais recentes medidas de segurança

São causa de grande parcela das invasões

Os vírus e os malwares se aproveitam de vulnerabiliades dos sistemas

Distributed Denial of Service

Principal objetivo é deixar um recurso computacional inacessível aos usuários

Consequencias do ataque resultam na diminuição de largura de banda e esfogamento de recursos do serviço

Uma técnica típica é o SYN flooding, que causa o overflow da pilha de memória por meio do envio de um grande número de pedidos de conexão

POLÍTICAS DE SEGURANÇA

“Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”

Tem por objetivo possibilitar o gerenciamento da segurança em uma organização, estabelecendo regras e padrões para proteção da informação de acordo com as leis e requisitos do negócio

Diretrizes

O documento da política deve ter declarações relativas a

  1. Uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação;
  1. Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio
  1. Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco
  1. Breve explanação das políticas, princípios, normas e requisitos de conformidade de
    segurança da informação específicos para a organização
  1. Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação
  1. Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir

Práticas que minimizam as chances de sucesso dos ataques contra a organização

Proibição daquilo que não for permitido

Evolução constante da política de segurança

Controle rígido de acesso ás conexões de redes internas para com a interna

Prevalecimento da segurança caso não haja conciliação com o serviço

Simplicidade na implementação de serviços para evitar configurações erradas

Controle rigoroso no fornecimento de senhas

Realização de teste para garantir os objetivos analisados

Verificação da efetividade das políticas

Analise do custo e impacto dos controles na eficiência do negócio

Verificação dos efeitos de mudanças na tecnologia utilizada

LEGISLAÇÃO BRASILEIRA

O Marco Civil da Internet (PL 2126/2011) : regula o uso da Internet no Brasil por meio da previsão de princípios, garantias, direitos e deveres para quem usa a rede, bem como da determinação de diretrizes para a atuação do Estado

Trata de temas como neutralidade da rede, privacidade, retenção de dados, a função social que a rede precisará cumprir, especialmente garantir a liberdade de expressão e a transmissão de conhecimento, além de impor obrigações de responsabilidade civil aos usuários e provedores

O método de autenticação dos algoritmos de criptografia de chave pública operando em conjunto com uma função resumo(hash), é chamada de assinatura digital