SEGURANÇA EM SISTEMAS DE INFORMAÇÃO
objetivo: Será realizada uma imersão no mundo de segurança de informação, onde serão abordadas definições, leis globais e nacionais, mecanismos de segurança, politicas, etc.
CONCEITOS BÁSICOS
Grande maioria das empresas deixam a desejar - Independente do porte -
Acabou se tornando uma cultura na maioria dos negócios, seja por falta de conhecimento sobre o problema, ou por falta de dinheiro.
É muito importante que mecanismos de segurança de sistemas de informação sejam projetados de maneira a prevenir acessos não autorizados aos recursos e dados destes sistemas
A segurança da informação, antes de tudo, é uma questão estratégica
"Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”
Atributos básicos da segurança da informação, segundo os padrões
internacionais (ISO/IEC 17799:2005)
Não Repúdio: Garantir que a pessoa não negue ter assinado ou criado a informação
Autenticidade: Garantir que a informação é autêntica
Confidencialidade: Garantir que a informação seja acessada somente por pessoas autorizadas
Integridade: Garantir a exatidão da informação (que a informação não seja modificada)
Disponibilidade: Garantir que a informação esteja sempre disponível
AMEAÇAS
Relacionadas diretamente à perda de um de seus atributos básicos
Acidental: falha no hardware ou no software
Intencional: planejada e premeditada, por exemplo, capturas não autorizadas de pacotes na rede
Situações que pode encadear
Destruição de informações ou recursos
Modificação ou deturpação da informação
Roubo
Remoção ou perda de informação
Revelação de informações confidenciais ou não
Paralisação dos serviços de rede
Mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders)
Os Insiders, são funcionários, ex-funcionários ou colaboradores, que atuam ou atuaram dentro de uma empresa ou fora dela e obtiveram acesso a informações internas.
ATAQUES
Um ataque ocorre quando uma ameaça intencional é realizada
Ataque ativo: tendo por resultado a alteração dos dados
Ataque passivo: tendo por resultado a liberação dos dados
Ataque destrutivo: visando à negação do acesso aos dados ou serviços
Ataques podem ocorrer por
Curiosidade e interesse em adquirir maior conhecimento sobre os sistemas
Chantagem de algum tipo
Espionagem industrial
Venda de informações confidenciais
Ferir a imagem de um governo ou uma determinada empresa ou serviço
Como um sistema pode ter suas informações interceptadas
Violação da privacidade e confidencialidade das informações: entidades não autorizadas
Violação de autenticidade: invasores se passando por uma entidade autêntica
Fluxo normal das mensagens ao destino pode ser interrompido
VULNERABILIDADES
Portabilidade: Aplicativos que são utilizados por diversos dispositivos e versões de sistemas operacionais (aplicativos na nuvem)
A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque
Buffer Overflow: ocorre quando um programa tenta colocar mais dados em buffer que esse buffer possa suportar
Gerenciamento de vulnerabilidade: identificação de medidas adequadas de segurança das informações nas empresas
MECANISMOS DE CONTROLE DE SEGURANÇA
São medidas que visam controlar o acesso às informações
CONTROLE DE ACESSO (PROTOCOLOS AAA)
Pilares da segurança da informação
Identificação
Autenticação
Autorização
Auditoria
Tipos de controle de acesso
Controle de Acesso centralizado
Utiliza uma entidade central, um sistema ou usuário, para tomar as decisões sobre acesso aos recursos
Garante padronização do acesso às informações
Impede superposição de direitos
Qualquer falha no sistema central impede o acesso às informações
Controle de Acesso descentralizado
Utiliza as entidades mais próximas dos recursos para gerenciar melhor os problemas sob sua supervisão
Uma falha no sistema de controle de acesso não interfere no acesso aos demais sistemas, desde que não haja dependência entre eles
A perda da padronização do acesso às informações, e a possibilidade de superposição de direitos causam furos de segurança
Controle de Acesso mandatório (MAC)
Usado em sistemas de múltiplos níveis com dados altamente sensíveis
Administradores do sistema definem os níveis de privilégio dos usuários e a política de acesso
Há a construção de um sistema manipulador de múltiplos níveis de classificação entre sujeitos, nível de privilégios, e objetos, nível de sensibilidade da informação
Controle de Acesso discricionário (DAC)
O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem
Todo objeto nesse sistema deve ter um proprietário e os que estão sem são considerado não protegidos
Os indivíduos podem pertencer a um ou mais grupos, podendo adquirir permissões cumulativas
Processo de Autenticação
- Algo que o usuário é: Impressão digital, padrão de retina, reconhecimento de assinatura
- Algo que o usuário tem: Cartões de identificação, smart cards, tokens USB.
3. Algo que o usuário conhece: Senhas fixas, one-time passwords, sistemas de desafioresposta.
- Onde o usuário está: Localização GPS.
Uma autenticação que consiste no uso de mais de um modo é chamada de autenticação forte
Processo de Autorização e Auditoria
O processo de autorização determina se um usuário irá ter autorização ou não para acessar algo
O processo de auditoria é um exame cuidadoso e sistemático das atividades desenvolvidas no sistema
Objetivo é averiguar a qualidade no tratamento das informações, integridade, confidencialidade e disponibilidade dos dados
PROTEÇÃO A INVASÃO
O firewall controla a transferência de dados entre o computador e a internet
Diferença entre firewall e antivirus
Enquanto o firewall controla o acesso ao PC ou à rede durante o fluxo de dados, o antivírus combate pragas e arquivos infectados que podem vir em arquivos ou programas baixados pelo usuário
PRIVACIDADE DE DADOS
Caso da Cardsystem Solution
Criptografia
Considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código
Proteger os dados sigilosos armazenados em seu computador ou sistemas
Proteger seus backups contra acesso indevido, principalmente aqueles enviados para áreas de armazenamento externo de mídias
Proteger as comunicações realizadas pela Internet, como os e-mails enviados/recebidos e as transações bancárias e comerciais realizadas
Criptografia de chave simétrica (secreta ou única)
Utiliza uma única chave para codificar e decodificar informações
AES, Blowfish, RC4,
3DES e IDEA
Criptografia de chave assimétrica (pública)
RSA, DSA, ECC e Diffie-Hellman
Utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente o outro chave par pode decodificá-la
Chave simétrica é usada para a codificação da informação
Chaves assimétricas é utilizada para o compartilhamento da chave secreta
Uso combinado é o que é utilizado pelos navegadores Web e programas leitores de e-mails. Exemplos: SSL, PGP e S/MIME
Função Hash
Quando aplicado sobre uma informação, gera um resultado único, irreversível e de tamanho fixo, chamado Hash
Pode utilizá-lo para verificar a integridade de um arquivo armazenado em seu computador ou backups; ou de um arquivo obtido da Internet e gerar assinaturas digitais
SHA-1, SHA-256 e MD5
1º
2º
3º
CERTIFICADO E ASSINATURA DIGITAL
O Certificado Digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública
Ele fará um usuário confiar na integridade e privacidade das informações que ali estão sendo passadas
CLASSIFICAÇÃO DOS TIPOS DE HACKERS
O termo "Hacker" na verdade é
destinado para alguém que tem grande conhecimento na área de informática, tanto para
software quanto para hardware e é movido pela curiosidade de saber como tudo isso
funciona
White Hat
Termo utilizado para pessoas que gostam de adquirir conhecimento sobre várias áreas de conhecimento e aprender o funcionamento dos sistemas em geral
São responsáveis por alertar e manter em segurança empresas que possivelmente tenham vulnerabilidades em seus produtos
Black Hat
Também é utilizado para indivíduos que são movidos pela curiosidade
Diferente do "White Hat", eles exploram a vulnerabilidade para benefício próprio
A característica marcante é voltada para seus valores éticos e morais
Script Kiddies
Utilizado para o grupo de indivíduos com pouco conhecimento técnico nas disciplinas que envolvem a área da computação
Se aproveitam de alvos fáceis para aplicar seus poucos conhecimentos
Falta de interesse em adquirir conhecimento computacional
Roubos de cartões de crédito, senha de contas privadas, ataques de negação de serviço
Hacktivismo
Utilizado para o grupo de indivíduos que tem como motivação ideologias ou política
Objetivo de expor o seu alvo ou chamar atenção para determinado movimento
Tipos de ataques mais comuns: DDoS e Web
Insider
Funcionários ou ex-funcionários que prejudicam a corporação na qual trabalha ou já fez parte
Muito prejudicial para uma empresa
Tem acesso ou podem encontrar vulnerabilidade e informações confidenciais
TIPOS DE AMEAÇAS E SUAS DIFERENÇAS
"Toda corporação está vulnerável a ataques provenientes desta conectividade moderna. Os ataques aos sistemas apresentam objetivos diferentes e o seu sucesso depende do grau de segurança dos alvos e da consequente capacidade do hacker em atacá-los"
Dumpster Diving
Ato de vasculhar o lixo corporativo com o objetivo de achar alguma informação de valor
Brute Force
Procedimento usado para descobrir senhas testando todas as combinações possíveis de palavras criadas em uma lista chamada de "wordlist"
Engenharia Social
É uma técnica utilizada por pessoas que conseguem senhas e outras informações confidenciais do seu alvo fingindo ser outra pessoa e simplemente pedindo essas informações
É utilizada a influência, manipulação e a persuasão para enganar e convencer a vítima
Caso uma empresa não tenham políticas de segurança da informação bem definidas, há um grande risco de sofrerem esse tipo de ataque
Packet Sniffing
É o procedimento realizado por uma ferramenta que intercepta e analisa o tráfego de uma rede.
O atacante pode identificar pacotes que estão em tráfego a fim de descobrir informações importantes
Software Desatualizado
Softwares desatualizados não possuem as mais recentes medidas de segurança
São causa de grande parcela das invasões
Os vírus e os malwares se aproveitam de vulnerabiliades dos sistemas
Distributed Denial of Service
Principal objetivo é deixar um recurso computacional inacessível aos usuários
Consequencias do ataque resultam na diminuição de largura de banda e esfogamento de recursos do serviço
Uma técnica típica é o SYN flooding, que causa o overflow da pilha de memória por meio do envio de um grande número de pedidos de conexão
POLÍTICAS DE SEGURANÇA
“Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”
Tem por objetivo possibilitar o gerenciamento da segurança em uma organização, estabelecendo regras e padrões para proteção da informação de acordo com as leis e requisitos do negócio
Diretrizes
O documento da política deve ter declarações relativas a
- Uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação;
- Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio
- Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco
- Breve explanação das políticas, princípios, normas e requisitos de conformidade de
segurança da informação específicos para a organização
- Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação
- Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir
Práticas que minimizam as chances de sucesso dos ataques contra a organização
Proibição daquilo que não for permitido
Evolução constante da política de segurança
Controle rígido de acesso ás conexões de redes internas para com a interna
Prevalecimento da segurança caso não haja conciliação com o serviço
Simplicidade na implementação de serviços para evitar configurações erradas
Controle rigoroso no fornecimento de senhas
Realização de teste para garantir os objetivos analisados
Verificação da efetividade das políticas
Analise do custo e impacto dos controles na eficiência do negócio
Verificação dos efeitos de mudanças na tecnologia utilizada
LEGISLAÇÃO BRASILEIRA
O Marco Civil da Internet (PL 2126/2011) : regula o uso da Internet no Brasil por meio da previsão de princípios, garantias, direitos e deveres para quem usa a rede, bem como da determinação de diretrizes para a atuação do Estado
Trata de temas como neutralidade da rede, privacidade, retenção de dados, a função social que a rede precisará cumprir, especialmente garantir a liberdade de expressão e a transmissão de conhecimento, além de impor obrigações de responsabilidade civil aos usuários e provedores
O método de autenticação dos algoritmos de criptografia de chave pública operando em conjunto com uma função resumo(hash), é chamada de assinatura digital