Академический Документы
Профессиональный Документы
Культура Документы
Conceitos Bsicos
Prof. Hunder Everto Correa Junior
Material adaptado da Academia Latino-Americana de Segurana - Microsoft
Desde o surgimento da raa humana na Terra, a informao esteve presente sendo representada atravs de diferentes formas e tcnicas. O homem buscava o registro de seus hbitos, costumes e intenes atravs de diversos meios que pudessem ser utilizados e compreendidos por ele e por outras pessoas. Alm disso, havia tambm a necessidade de se armazenar e transportar estas informaes de um lugar para outro. As informaes importantes eram registradas em objetos valiosos e sofisticados usando pinturas magnficas, entre outros mtodos, que eram armazenados com muito cuidado em locais de difcil acesso, e sua forma e contedo ficavam restritos aqueles que tivessem conhecimento para interpretlos.
Atualmente, as informaes constituem um dos objetos de maior valor para as empresas. O progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no qual os objetos e dados do mundo real podem ser representados por bits e bytes, que ocupam lugar em outra dimenso e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, tendo um valor maior. Em um cenrio mais recente, a economia mundial evoluiu de um modelo industrial para um modelo baseado em conhecimento. Por isso, as informaes, isto , o conhecimento das empresas, passam a ser um de seus maiores diferenciais competitivos em relao as outras empresas.
Por esses e outros motivos que a segurana da informao um assunto to importante para todos, pois afeta diretamente todos os negcios de uma organizao ou de um indivduo. Apesar de muitas vezes possuir um foco empresarial, a segurana da informao tambm muito importante para a esfera governamental e o chamado terceiro setor, que inclui as organizaes no governamentais.
A segurana da informao tem como propsito proteger os chamados ativos de informao, no importando onde eles estejam armazenados ou representados: impressos em papel, armazenados em discos rgidos de computadores ou at mesmo na memria das pessoas que os conhecem. Entendemos por ativos de informao todas as peas de informao que uma empresa possu, como arquivos e sistemas, que possuam valor, demandando necessidades em termos de proteo.
Os objetos reais ou tangveis (como coisas de valor fsico - jias, pinturas, dinheiro, etc.) esto protegidos por tcnicas que os isolam atrs de grades ou dentro de caixas fortes, sob a mira de cmeras e seguranas. Mas e as informaes encontradas dentro de servidores de arquivos, que transitam pelas redes de comunicao ou que so lidas na tela de um computador ? O que fazer para proteg-las, j que no possvel usar as mesmas tcnicas de proteo de objetos reais?
Uma das preocupaes da segurana da informao proteger os elementos que fazem parte da comunicao.
As informaes; Os equipamentos que as suportam; As pessoas que fazem uso delas.
Ativos
Ativo tudo aquilo que possu valor para uma empresa e, por conta disso, precisa ser protegido. Os ativos so elementos que a segurana da informao busca proteger por conta do seu valor. Este valor pode estar no prprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados.
a) Informaes Neste grupo se encontram as prprias informaes, estejam elas armazenadas e representadas de qualquer forma, em meio eletrnico ou fsico.
Exemplos: documentos; relatrios; livros; manuais; correspondncias; patentes; informaes de mercado; cdigos de programao; linhas de comando; arquivos de configurao; planilhas de remunerao de funcionrios; plano de negcios de uma empresa.
B) Software Este grupo de ativos contm todos os programas de computador utilizados para a automatizao de processos, incluindo acesso, leitura, transmisso e armazenamento das informaes.
A segurana da informao busca avaliar a forma em que as aplicaes so criadas, disponibilizadas e utilizadas pelos usurios e por outros sistemas para detectar e corrigir problemas existentes em seu funcionamento ou na forma como se comunicam.
Exemplos: Sistemas operacionais (Windows, Unix, etc.); Aplicativos; Solues de CRM e ERP;
B.2) Hardware Esses ativos representam todos os elementos fsicos dos sistemas computacionais que oferecem suporte ao processamento, armazenamento e transmisso de informaes. Computadores pessoais (PC's); Servidores; Laptops; Mainframes; Mdias de armazenamento; Equipamento de conectividade, como roteadores e switchs;
b.3) Organizao Neste grupo, esto includos os aspectos que compem a estrutura fsica e organizacional das empresas.
Como exemplos de estrutura organizacional temos: A estrutura departamental; A hierarquia; Processos. Em relao ao ambiente fsico podemos citar:
Datacenters; Salas-cofre; Instalaes fsicas (construo onde a empresa est situada.
C) Usurios O grupo usurios refere-se aos indivduos que lidam com as informaes no seu dia-adia de trabalho. Exemplos: Funcionrios; Profissionais terceirizados; Executivos.
O enfoque da segurana nos usurios est voltado para a formao da conscincia sobre segurana, para que estes tomem decises e empreendam aes de acordo com as necessidades de proteo. Isso vai desde a alta direo at os usurios finais da informao, incluindo os grupos que mantm em funcionamento a estrutura tecnolgica, como tcnicos, operadores e administradores.
1) Integridade
A integridade, nos permite garantir que a informao no tenha sido alterada em seu contedo de forma intencional ou acidental, tornando-a ntegra. Uma informao ntegra uma informao que no foi alterada de forma indevida ou no-autorizada.
Exemplos:
Alterao nas configuraes de um sistema para obteno de acesso indevido; Insero de trfego invlido na comunicao entre dois dispositivos para causar erros de funcionamento; Alterao de informaes em um sistema financeiro com o propsito de se cometer fraudes.
2) Confidencialidade
O aspecto da confidencialidade da informao tem como objetivo garantir que apenas as pessoas corretas tenham acesso informao que queremos distribuir. Por isso, dizemos que a informao possui um grau de confidencialidade que dever ser mantido para que as pessoas no-autorizadas no tenham acesso a ela. Ter confidencialidade na comunicao ter a segurana de que o que foi dito a algum ou escrito em algum lugar s ser escutado ou lido por quem tiver autorizao para tal. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas noautorizadas.
Exemplo:
Pensemos no caso de um carto de crdito, o nmero do carto s poder ser conhecido por seu proprietrio e pelo vendedor da loja onde usado. Se esse nmero for descoberto por algum malintencionado, como nos casos denunciados em jornais sobre crimes na Internet, o prejuzo causado pela perda de confidencialidade poder ser elevado
Grau de sigilo: As informaes geradas dentro de uma empresa tm uma finalidade especfica e destinam-se a um indivduo ou grupo de indivduos. Portanto, elas precisam de uma classificao com relao sua confidencialidade. o que chamamos de grau de sigilo, que uma graduao atribuda a cada tipo de informao com base no grupo de usurios que devem ter permisses de acesso a informao em questo.
Alguns exemplos:
Confidencial; Restrito; Sigiloso; Pblico.
Exerccio: Defina algumas situaes praticas onde diferentes graus de sigilo so utilizados.
Exemplos:
Durante uma reunio de altos executivos da empresa, os servios de banco de dados param de funcionar por causa de um vrus, o que impede que se tome uma deciso importante para a empresa. Devido a um incndio em um dos escritrios, as informaes de vendas da empresa foram destrudas e no se contava com um sistema de backup adequado para as mesmas.
Ameaas
Ameaas
Os ativos esto constantemente sob ameaas que podem colocar em risco a integridade, a confidencialidade e a disponibilidade das informaes. Essas ameaas sempre existiro e esto relacionadas a causas que raramente as empresas controlam. Podemos ter: Causas naturais ou humanas; Causas internas ou externas
Tipos de ameaas:
As ameaas so freqentes e podem ocorrer a qualquer momento. Essa relao de freqnciatempo se baseia no conceito de risco, o qual representa a probabilidade de que uma ameaa se concretize por meio de uma vulnerabilidade, combinada com a impacto que a ameaa ir causar. Elas podem se dividir em trs grandes grupos:
1. Ameaas naturais
- condies da natureza que podero provocar danos nos ativos, tais como fogo, inundao, terremotos;
2. Intencionais
- so ameaas deliberadas causadas por pessoas como fraudes, vandalismo, sabotagem, espionagem, invaso e furto de informaes, entre outros;
3. Involuntrias
So ameaas resultantes de aes inconscientes de usurios, muitas vezes causadas pela falta de conhecimento no uso dos ativos, tais como erros e acidentes.
Exerccio: Tente identificar os 6 tipos maiores de ameaas que sua empresa apresenta.
Vulnerabilidades
As ameaas sempre existiram e de se esperar que, medida que a tecnologia progrida, tambm surjam novas formas atravs das quais elas possam se concretizar; portanto, importante conhecer a estrutura geral de como se classificam as vulnerabilidades que podem fazer com que essas ameaas causem impactos em nossos sistemas, comprometendo os princpios da segurana da informao.
Vulnerabilidades
As vulnerabilidades so situaes que, ao serem explorados por ameaas, afetam a confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou empresa. Um dos primeiros passos para a implementao da segurana rastrear e eliminar as vulnerabilidades de um ambiente de tecnologia da informao.
Ao se identificarem as vulnerabilidades, ser possvel dimensionar os riscos aos quais o ambiente est exposto e definir as medidas de segurana mais apropriadas e urgentes para o ambiente.
a) Vulnerabilidades fsicas
Os pontos fracos de ordem fsica so aqueles presentes nos ambientes em que esto sendo armazenadas ou gerenciadas as informaes. Exemplo: instalaes inadequadas do espao de trabalho, ausncia de recursos para o combate a incndios, disposio desorganizada dos cabos de energia e de rede, entre outros.
b) Vulnerabilidades de hardware
Exemplo: A falta de configurao de equipamentos de contingncia poderia representar uma vulnerabilidade para os sistemas da empresa, pois permitiria que uma ameaa de indisponibilidade de servios crticos se concretizasse mais facilmente.
c) Vulnerabilidades de software
Exemplos: Programas de e-mail que permitem a execuo de cdigos maliciosos, editores de texto que permitem a execuo de vrus de macro, etc. esses pontos fracos colocam em risco a segurana dos ambientes tecnolgicos.
Os meios de armazenamento so os suportes ticos, magnticos, etc. utilizados para armazenar as informaes. Entre os tipos de meios de armazenamento de informaes que esto expostos, podemos citar os seguintes: CD-ROMs; Fitas magnticas; Discos rgidos; Pen-drives.
Exemplo: Os meios de armazenamento podem ser afetados por vulnerabilidades que podem danific-los ou deix-los indisponveis. Alguns exemplos: Falhas ocasionadas por mal funcionamento; Uso incorreto; Local de armazenamento em locais inadequados.
e) Vulnerabilidades de comunicao
Exemplo: A ausncia de sistemas de criptografia nas comunicaes poderia permitir que pessoas alheias organizao obtivessem informaes privilegiadas; A m escolha dos sistemas de comunicao para envio de mensagens de alta prioridade da empresa poderia fazer com que elas no alcanassem o destino esperado no prazo adequado ou que a mensagem fosse interceptada no meio do caminho.
f) Vulnerabilidades humanas
Como se prevenir
Educao dos usurios
Senhas Cuidados com Engenharia Social
Utilizar o usurio Administrator (ou root) somente quando for estritamente necessrio;
Engenharia Social
O termo utilizado para descrever um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes.
Engenharia Social
a arte de enganar as pessoas para obter proveito delas!
senhas de acesso; topologia da rede; endereos IP em uso; nomes de hosts em uso; listas de usurios; tipos e verses de sistemas operacionais usados; tipos e verses de servios de rede usados; dados sigilosos sobre produtos e processos da organizao.
Phishing
A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, onde iscas (emails) so usadas para pescar senhas e dados financeiros de usurios da Internet.
mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios.
Tabela retirada da cartilha do CERT sobre principais mensagens distribudas pela Internet.
Como se proteger?
Em casos de engenharia social o bom senso essencial. Fique atento para qualquer abordagem, seja via telefone, seja atravs de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituio) solicita informaes (principalmente confidenciais) a seu respeito.
Como se proteger?
Use o bom senso! Nunca fornea informaes como senhas ou nmeros de cartes de crdito!
Como se proteger?
Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um email ou pgina Web, extremamente importante que voc antes de realizar qualquer ao, procure identificar e entrar em contato com a instituio envolvida, para certificar-se sobre o caso.
Exemplo 1
Voc recebe uma mensagem e-mail, onde o remetente o gerente ou algum em nome do departamento de suporte do seu banco. Na mensagem ele diz que o servio de Internet Banking est apresentando algum problema e que tal problema pode ser corrigido se voc executar o aplicativo que est anexado mensagem.
Exemplo 1
A execuo deste aplicativo apresenta uma tela anloga aquela que voc utiliza para ter acesso a conta bancria, aguardando que voc digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha de acesso a conta bancria e envi-la para o atacante.
Exemplo 2
Voc recebe uma mensagem de e-mail, dizendo que seu computador est infectado por um vrus. A mensagem sugere que voc instale uma ferramenta disponvel em um site da Internet, para eliminar o vrus de seu computador. A real funo desta ferramenta no eliminar um vrus, mas sim permitir que algum tenha acesso ao seu computador e a todos os dados nele armazenados.
Exemplo 3
Algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a Internet est apresentando algum problema e, ento, pede sua senha para corrigi-lo. Caso voc entregue sua senha, este suposto tcnico poder realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome.
Conceitos de Segurana
Vulnerabilidades Cdigos Maliciosos (Malware)
Negao de Servio
DDoS
Vulnerabilidade
Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.
Vulnerabilidade
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel.
Exemplos de Vulnerabilidades
Portas abertas
M configurao de firewalls podem manter portas TCP e UDP abertas que so utilizadas para acessar o computador
Senhas padres ou fceis de quebrar Bugs de software programas mal desenvolvidos podem se tornar uma vulnerabilidade tentadora para os atacantes, um bug clssico o buffer overflow. Configuraes de redes
NESSUS
Nessus trabalha com o conceito de cliente e servidor. O mdulo do servidor quem de fato efetua os testes e o mdulo cliente envia requisies de testes e analisa seus resultados. Para a comunicao entre cliente e servidor utilizada autenticao de usurios e mtodos de criptografia.
Outras ferramentas
SARA (The Security Auditor's Research Assistant) (freeware) TAMU TIGER (freeware) CHKACCT (freeware) TWWWSCAN (freeware) STAT (Security Test and Analysis Tool) DEMO V 3.0 (comercial) Retina The Network Security Scanner (shareware)
O que DDoS?
DDoS (Distributed Denial of Service) constitui um ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet.
O que DDoS?
Normalmente, estes ataques procuram ocupar toda a banda disponvel para o acesso a um computador ou rede, causando grande lentido ou at mesmo indisponibilizando qualquer comunicao com este computador ou rede.
DDoS
O objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invad-los. importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negao de servio.
DDoS
Exemplo: os computadores podem ser indisponibilizados para acessar sites de empresas de comrcio eletrnico, impossibilitando a venda de produtos atravs da rede por um longo perodo de tempo. Isto no caracteriza uma invaso porque nada dos computadores foi roubado apenas o servio ficou indisponvel1
Criptografia
Criptografia a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. parte de um campo de estudos que trata das comunicaes secretas, usadas, dentre outras finalidades, para:
autenticar a identidade de usurios; autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerciais e bancrias; proteger a integridade de transferncias eletrnicas de fundos.
Certificado Digital
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mdia, como um token ou smart card.
Exemplos semelhantes a um certificado digital so o CNPJ, RG, CPF e carteira de habilitao de uma pessoa. Cada um deles contm um conjunto de informaes que identificam a instituio ou pessoa e a autoridade (para estes exemplos, rgos pblicos) que garante sua validade.
Certificado Digital
Algumas das principais informaes encontradas em um certificado digital so:
dados que identificam o dono (nome, nmero de identificao, estado, etc); nome da Autoridade Certificadora (AC) que emitiu o certificado; o nmero de srie e o perodo de validade do certificado; a assinatura digital da AC. O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informaes nele contidas.
Certificado Digital
Quando voc acessa um site com conexo segura, como por exemplo o acesso a sua conta bancria pela Internet possvel checar se o site apresentado realmente da instituio que diz ser, atravs da verificao de seu certificado digital;
Trabalho em Aula
Escolher cinco tipos diferentes de fraudes que so realizadas atravs da Internet, e apresentar para os colegas: Descrever a fraude Orientaes sobre a preveno Precaues para evitar este tipo de fraude
Exemplo
Fraude:
Voc acessa um site de leilo ou de venda de produtos, onde os produtos ofertados tm preos muito abaixo dos praticados pelo mercado.
Risco:
ao efetivar uma compra, na melhor das hipteses, voc receber um produto que no condiz com o que realmente foi solicitado. Na maioria dos casos, voc no receber nenhum produto, perder o dinheiro e poder ter seus dados pessoais e financeiros furtados, caso a transao tenha envolvido, por exemplo, o nmero do seu carto de crdito.
Exemplo
Como identificar:
Faa uma pesquisa de mercado sobre preo do produto desejado e compare com os preos oferecidos. Ento, voc deve se perguntar por que esto oferecendo um produto com preo to abaixo do praticado pelo mercado.
importante ressaltar que existem muitos sites confiveis de leiles e de vendas de produtos, mas nesta situao a inteno ilustrar casos de sites especificamente projetados para realizar atividades ilcitas.