Pe n sa ndo e m Vu ln e r a bilida de s, Am e a a s e Riscos

Obj et ivos
Avaliar am eaas e riscos segurana de redes. Aps concluir est e capt ulo, voc est ar preparado para execut ar as seguint es t arefas:

Tarefas
I dent ificar as necessidades de segurana de rede. I dent ificar algum as das causas dos problem as de segurana de rede. I dent ificar caract erst icas e fat ores m ot ivadores de invaso de rede.

Tarefas
I dent ificar as am eaas m ais significat ivas na segurana de rede. Conceit uar vulnerabilidade, am eaa, risco e gerenciam ent o de risco.

Por que segurana ... ?

Porque para garant ir a segurana nos negcios preciso at ualizar const ant em ent e as defesas para reduzir a vulnerabilidade s am eaas inovadoras dos invasores.

Desafios
Se gu r a n a difcil de ser im plem ent ada uniform em ent e em t oda a em presa. Escolha de um a alt ernat iva ou com binao adequada de diversas opes de solues.

Desafios
Escolher ent re vrias opes diferent es e disponveis e adot ar aquelas que sat isfaam os requisit os exclusivos da rede e dos negcios.

Desafios

Os produt os diferent es devem ser int egrados em t oda a em presa a fim de se at ingir um a nica polt ica de segurana est vel.

Porque t em os problem as de segurana

Fragilidade da Tecnologia Fragilidade de Configurao Fragilidade da Polt ica de Segurana

Fragilidade da Tecnologia
TCP/ I P Sist em a Operacional Equipam ent os de Rede

Fragilidade de Configurao

So problem as causados pelo fat o de n o se con figu r a r e qu ipa m e n t os in t e r liga dos para im pedir problem as de segurana conhecidos ou provveis.

Fragilidade de Configurao
Consideraes default inseguras nos produt os. Equipam ent o de rede configurado equivocadam ent e. Cont as de usurios inseguras. Cont as de sist em as com senhas previsveis.

Fragilidade do Equipam ent o de Rede

Prot eo de senha insegura Falhas de aut ent icao Prot ocolos de Rot eam ent o Brechas no Firewall

Fragilidades da Polt ica de Segurana

Falt a de um a polt ica escrit a. Polt icas int ernas Falt a de cont inuidade dos negcios Cont roles de acesso para equipam ent os de rede no so aplicados. A adm inist rao de segurana negligent e, inclusive a m onit orao e a audit oria.

Fragilidades da Polt ica de Segurana

Falt a de conhecim ent o sobre at aques. Alt eraes e inst alao de soft ware e hardware no seguem a polt ica. Falt a de Planej am ent o de Cont ingncia.

Conhea seus invasores

Scr ipt Kiddie No possuem m uit a habilidade. Mas t eve a sort e de encont rar um sist em a rem ot o que no aplicou o pat ch de correo a t em po.

Script Kiddie

So bons na razo inversam ent e proporcional negligncia de adm inist radores/ usurios que no acom panham list as de segurana e dem ais pginas de fornecedores ou CERT ( Com put er Em ergency Response Team )

Script Kiddie
Um invasor que faz int ruso vinculada a um a falha conhecida. No buscam inform aes e/ ou m quinas especficas. Ou sej a, ganhar acesso de root . Bast a t er acesso para desconfigurar hom e pages de form a m ais fcil possvel.

Script Kiddie
Sua t cnica consist e em ficar revirando a I nt ernet at rs de m quinas vulnerveis e fazer exploraes com exploit s, ferram ent as que perm it am explorar as falhas em servios.

Script Kiddie
Podem desenvolver suas prprias ferram ent as. Exist em os que no conhecem nenhum a t cnica, e t udo o que sabem execut ar as ferram ent as fornecidas por out ro script kiddie.

Cracker
Um invasor de bons conhecim ent os t cnicos e assim sendo, ele ser capaz de apagar seus rast ros de m aneira m ais sut il. Se caract eriza pelo alt o nvel t cnico, na m edida em que cada passo da invaso realm ent e est udado e bem pensado.

Cracker
Busca dados com o configuraes padres ou senhas padres que ele possa explorar. Tem capacidade para desenvolve seus prprios exploit s. So geniais e criat ivos para a m int eno. Realiza at aques int eligent es para com prom et er a segurana da rede.

Cracker
Suas at it udes furt ivas podero enganar at aos m ais experient es adm inist radores. So os verdadeiros invasores ( int rusos) ou at m esm o crim inosos cibernt icos.

Hacker
Um program ador apaixonado. Const roem e t ornam o m undo m elhor. Exem plos: St allm an, Linus Torvalds, Ada Lovelace, Douglas Engelbart , Dennis Rit chie, Ken Thom pson, Arnaldo Melo, Marcelo Tossat i, Alan Cox, ... ... No so ft eis desconfiguradores de pginas.

Hacker
( Hacking ou Hacking t ico) Program ador ou adm inist rador que se reserva a quest ionar os problem as de segurana nas t ecnologias disponveis e as form as de provar o conceit o do que discut ido.

Hacker t ico
Um a pessoa que invest iga a int egridade e a segurana de um a rede ou sist em a operacional. Usa o conhecim ent o avanado sobre SW e HW para ent rar no sist em a at ravs de form as inovadoras.

Hacker t ico
Com part ilha seu conhecim ent o grat uit am ent e at ravs da I nt ernet . No usa de m s int enes. Tent a oferecer um servio com unidade int eressada.

Conceit o de I nvasor
Script Kiddie Cracker Hacker Phracker ( pessoas que fazem acesso no aut orizado a r e cu r sos de t e le com u n ica e s)

Caract erst icas de um I nvasor

Sabem codificar em vrias linguagens de program ao. Conhecim ent os aprofundados sobre ferram ent as, servios e prot ocolos. Grande experincia com I nt ernet . Conhecem int im am ent e pelo m enos dois Sos.

Caract erst icas de um I nvasor

Tm um t ipo de t rabalho que usa redes. Usam equipam ent os com o se fossem m odo de vida. Colecionam SW e HW. Tm vrios com put adores para t rabalhar.

Mot ivos para am eaas

Explorao de em oes ( Not oriedade, Diverso) . Concorrncia de m ercado I nim igos polt icos Ladres ( at ividades furt ivas) Espies ( Espionagem indust rial)

Mot ivos para am eaas

Funcionrios host is: em pregados ou ant igos em pregados, vingana, at aque de Troca de Senhas ou Sesses Abert as) I nvest igao legal.

Vulnerabilidades
Ausncia de prot eo cobrindo um a ou m ais am eaas. Fraquezas no sist em a de prot eo. Vu ln e r a bilida de s s o cla r a m e n t e a ssocia da s com a m e a a s.

Exem plos
A a m e a a a a ce sso n o a u t or iza do est ligada a con t r ole s de a ce sso in a de qu a dos. A a m e a a de pe r da de da dos cr t icos e apoio ao processam ent o se deve ao pla n e j a m e n t o de con t ing n cia in e fica z.

Exem plo

A a m e a a de in c n dio est associada a vulnerabilidade da pr e ve n o con t r a in c n dio in a de qu a da .

Bens
Be n s Ta n gve is Aqueles que so paupveis: HW, SW, suprim ent os, docum ent aes, ... Be n s I n t a n gve is Pessoa, reput ao, m ot ivao, m oral, boa vont ade, oport unidade, ...

Bens
Os bens m ais im port ant es so as in for m a e s. I n for m a e s ficam em algum lugar ent re os bens t angveis e os int angveis.

I nform aes Sensveis

I n for m a e s, que se pe r dida s, m al usadas, acessadas por pessoas n o a u t or iza da s, ou m odifica da s, podem prej udicar um a organizao, quant o ao funcionam ent o de um negcio ou a privacidade de pessoas.

O que um a a m e a a ?
Um a a m e a a algum fat o qu e pode ocor r e r e a ca r r e t a r a lgu m pe r igo a um bem . Tal fat o, se ocorrer, ser causador de perda. a t e n t a t iva de u m a t a qu e .

Agent e de um a am eaa
um a ent idade que pode iniciar a ocorrncia de um a am eaa. Ent idade: um a pessoa: invasor / int ruso

Am eaas No- I nt encionais

Erros hum anos, Falhas em equipam ent os, Desast res nat urais, Problem as em com unicaes.

Am eaas I nt encionais
Furt o de inform ao, Vandalism o, Ut ilizao de recursos, violando as m edidas de segurana.

I m pact o
Result ados indesej ados da ocorrncia de um a am eaa cont ra um bem , que result a em perda m ensurvel para um a organizao. Quase t odo r isco t em um im pact o, em bora de difcil previso.

Risco
um a m edida da pr oba bilida de da ocor r n cia de u m a a m e a a . a probabilidade do event o causador de perda ocorrer. Oficialm ent e, u m r isco cor r e spon de a o gr a u de pe r da .

Am eaas, Riscos, Severidade

Am eaas variam em severidade. Se ve r ida de : grau de dano que a ocorrncia de um a am eaa pode causar. Riscos variam em probabilidade.

Tipos de Am eaas Segurana

Acesso no- aut orizado Reconhecim ent o Recusa de Servio Manipulao de Dados

Acesso No- Aut orizado

Obj et ivo: obt er acesso com o adm inist rador num com put ador rem ot o. Cont rolar o com put ador de dest ino e/ ou acessar out ros int erligados.

Form as de Acesso NoAut orizado

Acesso inicial Com base em senhas Privilegiado Acesso secundrio Perm isso de acesso rem ot o Vulnerabilidades de program a Arquivos no aut orizados

Reconhecim ent o

Monit oram ent o de vulnerabilidades, servios, sist em as ou t rfego de rede, no sent ido de levant ar inform aes visando um at aque fut uro.

Form as de Reconhecim ent o

Varreduras de port a I nvest igao: - observao passiva do t rfego de rede com um ut ilit rio, visando padres de t rfego ou capt urar pacot es para anlise e furt o de inform ao. - Snooping de rede ( sniffing de pacot es)

Recusa de Servio
Denial of Service ( DoS) Tent at iva de desat ivar ou corrom per servios, sist em as ou redes, no sent ido de im pedir o funcionam ent o norm al.

Form as de Recusa de Servio

Sobrecarga de recurso Dist ribut ed Denial of Service Bom bas de em ail

Manipulao de Dados
Capt ura, alt erao e repet io de dados at ravs de um canal de com unicao. Falsificao de I P Repet io de sesso Repdio

Falsificao de I P
Ocorre quando um invasor da fora de um a rede, finge ser um com put ador confivel dent ro da rede. O I P usado est dent ro do int ervalo da rede invadida, ou usado um I P ext erno aut orizado, confivel, e para o qual disponibilizado acesso a recursos na rede.

Falsificao de I P
Ocorre at ravs da m anipulao de pacot es I P. Um endereo I P de origem de um com put ador confivel, falsificado para assum ir ident idade de um a m quina vlida, para obt er privilgios de acesso no com put ador invadido.

Segurana da I nform ao
Som ent e pe ssoa s de vida m e n t e a u t or iza da s devem est ar habilit adas a le r , cr ia r , a pa ga r ou m odifica r inform aes. Con t r ola r o a ce sso s inform aes.

Cont role de acesso: quat ro requisit os

( 1) Mant er confidenciais inform aes pessoais sensveis ( pr iva cida de ) . ( 2) Mant er int e gr ida de e preciso das inform aes e dos program as que a gerenciam .

Cont role de acesso: quat ro requisit os

( 3) Garant ir que os sist em as, inform aes e servios est ej am disponveis ( acessveis) para aqueles que devem t er acesso. ( 4) Garant ir que t odos os aspect os da operao de um SI est ej am de acordo com as leis, regulam ent os, licenas, cont rat os e princpios t icos est abelecidos.

Sobre requisit os
I m pedir acesso a alguns usurios ( requisit o 1) e aut orizar fcil acesso a out ros ( requisit o 3) requer filt r a ge m m uit o bem feit a. Filt r a ge m , corresponde a int roduo de con t r ole s de se gu r a n a que visem a reduzir riscos.

Confidencialidade I nt egridade Acessibilidade Leis / t ica

Am eaas
Cavalos de Tria Vrus Worm s Vazam ent o de I nform aes Elevao de Privilgios Pirat aria Falhas de Hardware Fraude

Am eaas
Falsificao Backdoor Desfalque I ncndios ou Desast res Nat urais

Am eaas
Erros de Program adores Sniffers Ent rada I nesperada Furt o de inform ao

Cavalo de Tria
Program a que se apresent a execut ando um a t arefa e na realidade faz out ra. Am eaa : C, I , A. Preveno: m uit o difcil. Det eco: pode ser m uit o difcil. Severidade: pot encialm ent e m uit o elevada.

Vrus
um program a que infect a out ros program as por m odific- los. A m odificao inclui um a cpia do vrus, o qual pode ent o infect ar out ros. Am eaa : I , A Preveno: pode ser difcil. Det eco: norm alm ent e im ediat a. Severidade: pode ser baixa ou pot encialm ent e m uit o elevada.

Worm s
um program a usa conexes de rede para se espalhar de sist em a a sist em a. Um a vez at ivo, um worm pode com port ar- se com o a vrus, pode im plant ar program as cavalos de t ria ou realizar qualquer ao dest rut iva. Um worm se replica usando facilidade de em ail, capacidade de execuo rem ot a e capacidade de login rem ot o.

Worm s
Am eaa : I nt egridade, Acessibilidade. Preveno: pode ser difcil. Det eco: norm alm ent e im ediat a, at ravs de ant ivrus. Severidade: pode ser baixa ou pot encialm ent e m uit o elevada.

Pirat aria de Soft ware

Cpia ilegal de soft ware e docum ent ao e re- em balagem para com ercializao. Am eaa : Leis / t ica Preveno: m uit o difcil. Det eco: Pode ser difcil. Frequncia: ext rem am ent e com um . Severidade: Pot encialm ent e m uit o elevada.

Erros de Program adores

Erros nat urais de program ao ao codificar, provocando bugs em propores alarm ant es. Am eaas : C, I , A Preveno im possvel. Det eco: s vezes difcil Frequncia: com um . Severidade: pot encialm ent e m uit o elevada.

Sniffers
Program as que podem ler qualquer aspect o de t rfego em um a rede, com o por exem plo, capt urando senhas, em ails e arquivos. Am eaa : Confidencialidade. Preveno: im possvel. Det eco: possivelm ent e det ect ados. Severidade: pot encialm ent e m uit o elevada.

Desfalque
Norm alm ent e se refere a furt o de dinheiro. Am eaa : int egridade e recursos. Preveno: difcil. Det eco: pode ser difcil. Frequncia: desconhecida. Severidade: pot encialm ent e m uit o elevada.

Fraude
Qualquer explorao de um sist em a de inform ao t ent ando enganar um a organizao ou t om ar seus recursos. Am eaa : I nt egridade. Preveno: difcil. Det eco: difcil. Frequncia: desconhecida. Severidade: pot encialm ent e m uit o elevada.

Falsificao
Criao ilegal de docum ent os ou regist ros, int encionalm ent e produzidos com o reais. Am eaa : I e out ros recursos. Preveno: pode ser difcil. Det eco: pode ser difcil. Frequncia: desconhecida. Severidade: pot encialm ent e m uit o elevada.

Backdoor
Um program a que colocado num a m quina, com o se fosse um servio associado a um a port a, m as que t em a incum bncia de fazer um a int ruso. Am eaa : C. I , A. Preveno: m uit o difcil. Det eco: possivelm ent e det ect vel. Severidade: pot encialm ent e m uit o elevada.

Cont roles e Prot ees

Con t r ole s so procedim ent os ou m edidas que reduzem a probabilidade associada aos riscos. Pr ot e e s so cont roles fsicos, m ecanism os, ou polt icas, que prot egem os bens de am eaas. Ex e m plos de pr ot e o: alarm es, senhas, cont roles de acesso.

Cust os das Medidas

Os gast os com segurana devem ser j ust ificados com o qualquer out ro. A chave para selecionar m edidas de seguranas adequadas a habilidade de est im ar a reduo em perdas depois da im plem ent ao de cert as prot ees.

Cust o- Benefcio
Um a anlise de cust o- benefcio perm it e j ust ificar cada prot eo propost a. O cust o das m edidas de segurana deve ser sem pre inferior ao valor das perdas evit adas.

Exposies

Ex posie s so reas da rede com probabilidade de qu e br a m aior que out ras.

Especialist a em Segurana
Apresent ar con t r ole s pa r a m odifica r a s e x posie s, de m odo que t odos os event os de det erm inada severidade t enham a m esm a probabilidade. M inim iza r o cu st o de con t r ole s, ao m esm o t em po, m a x im iza n do a r e du o de e x posie s.

Gerenciam ent o de Riscos

Espect ro de at ividades, incluindo os cont roles, procedim ent os fsicos, t cnicos e adm inist rat ivos, que levam a solues de segurana de baixo cust o.

Gerenciam ent o de Riscos

Procura obt er as prot ees m ais efet ivas cont ra am eaas int encionais ( deliberadas) ou no int encionais ( acident ais) cont ra um sist em a com put acional.

Gerenciam ent o de Riscos

Tem quat ro part es fundam ent ais. An lise de Risco ( det erm inao de risco) Se le o de Pr ot e o Ce r t ifica o e Cr e de n cia m e n t o Pla n o de Con t in g n cia

Anlise Risco
Pedra fundam ent al da gerncia de riscos. Procedim ent os para est im ar a probabilidade de am eaas e perdas que podem ocorrer devido a vulnerabilidade do sist em a.

Anlise de Risco

O propsit o aj udar a det ect ar prot ees de baixo cust o e prover o nvel de prot eo necessrio.

Seleo de Prot eo
Os gerent es devem selecionar prot ees que dim inuem cert as am eaas. Devem det erm inar um nvel de risco t olervel e im plem ent ar prot ees de baixo cust o para reduzir perdas em nvel aceit vel.

Seleo de Prot eo
As prot ees podem at uar de diversos m odos: - Reduzir a possibilidade de ocorrncia de am eaas. - Reduzir o im pact o das ocorrncias das am eaas. - Facilit ar a recuperao das ocorrncias das am eaas.

Seleo de Prot eo
A gerncia deve focalizar reas que t m grande pot encial para perdas. As prot ees devem t er boa relao cust o- benefcio, ist o , t razer m ais ret orno que os gast os com im plem ent ao e m anut eno.

Cert ificao
Podem ser im port ant es elem ent os da gerncia de risco. Cert ificao ve r ifica o t cnica de que as prot ees e cont roles selecionados so adequados e funcionam corret am ent e.

Credenciam ent o

Cr e de n cia m e n t o a aut orizao oficial para operao, correes de segurana ou suspenso de cert as at ividades.

Plano de Cont ingncia

Event os indesej ados acont ecem , independent e da eficincia do program a de segurana. Perm it e um a respost a cont rolada que m inim iza danos e recupera operaes o m ais rpido possvel.

Plano de Cont ingncia

um docum ent o ou conj unt o de docum ent os que perm it em aes ant es, durant e, e depois da ocorrncia de event o no desej ado ( desast re) que int errom pe operaes da rede.

Avaliando am eaas
Exem plos ( m at erial escrit o, dist ribudo em aula) Caract erizando am eaas. Exam inar as am eaas possveis um a rede.