Introdução a Segurança da Informação

Introdução a Segurança da Informação

Introduo a Segurana da Informao Contedo Programtico Parte 1: A Informao Parte 2: Conceitos Parte 3: Por onde comear? Parte 4: Repositrios de Informao Parte 5: Genealogia de um Hacker Parte 6: Ameaas Digitais PARTE 1 A Informao Informao (Michaelis) do Lat. informatione

s. f., Ato ou efeito de informar ou informar-se; Comunicao; Conjunto de conhecimentos sobre algum ou alguma coisa; Conhecimentos obtidos por algum; Fato ou acontecimento que levado ao conhecimento de algum ou de um pblico atravs de palavras, sons ou imagens; Elemento de conhecimento susceptvel de ser transmitido e conservado graas a um suporte e um cdigo. Propriedade (Michealis) do Lat. proprietate s. f., Aquilo que pertena legitimamente a algum ou sobre o qual algum tenha direito pleno; Bens, posses;

Patrimnio fsico(tangvel) e imaterial(intangvel). Considerao E quando o patrimnio a informao? Consideraes Segundo a Universidade da Califrnia em Berkeley(2005): Existe aproximadamente 2.5 Bilhes de documentos acessveis na WEB; Este nmero cresce em cerca de 700 mil pginas por dia. Velhos jarges

O segredo a alma do negcio; Novas tendncias Mundo Globalizado, Ubiqidade, Acesso a Informao. PARTE 2 Conceitos Axioma de Segurana Uma corrente no mais forte que o seu elo mais fraco

Segurana da Informao A segurana da informao um conjunto de medidas que se constituem basicamente de controles e poltica de segurana, segurana tendo como objetivo a proteo das informaes dos clientes e da empresa (ativos/bens), ativos/bens controlando o risco de revelao ou alterao por pessoas no autorizadas. Poltica de Segurana Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os

direitos dos usurios, visando proteo adequada dos ativos da informao Ativos (Bens) Dados Servios Nmero de Cartes de Crdito Planos de Marketing Cdigos Fonte Informaes de RH

Web sites Acesso a Internet Controladores de Domnio ERP Comunicao Logins Transao Financeira Correio Eletrnico Definies Ameaa

Evento ou atitude indesejvel que potencialmente remove, desabilita, danifica ou destri um recurso; recurso Vulnerabilidade Caracterstica de fraqueza de um bem; Caractersticas de modificao e de captao de que podem ser alvos os bens, ativos, ou recursos intangveis de informtica, respectivamente, software, ou programas de bancos de dados, ou informaes, ou ainda a imagem corporativa. Conceitos Bsicos Risco A probabilidade da ocorrncia de

uma ameaa em particular A probabilidade que uma ameaa explore uma determinada vulnerabilidade de um recurso Ameaa, Vulnerabilidade e Risco Ameaa (evento) Vulnerabilidade (ponto falho) assalto a uma agncia bancria liberao manual das portas giratrias pelos vigilantes

Risco baixo, baixo devido ao percentual de assaltos versus o universo de agncias alto, alto se comparando as tentativas frustradas versus as bem sucedidas Conceitos Fundamentais Princpios da Segurana Confidencialidade Segurana Integridade Disponibilidade (Availability) CIA Confidencialidade

Propriedade de manter a informao a salvo de acesso e divulgao no autorizados; autorizados Proteger as informaes contra acesso de qualquer pessoa no devidamente autorizada pelo dono da informao, ou seja, as informaes e processos so liberados apenas a pessoas autorizadas. autorizadas CIA Integridade Propriedade de manter a informao acurada, completa e atualizada Princpio de segurana da informao atravs do qual garantida a autenticidade da informao O usurio que arquiva dados espera que o contedo de seus arquivos

no seja alterado por erros de sistema no suporte fsico ou lgico CIA Disponibilidade (Availability) Propriedade de manter a informao disponvel para os usurios, quando estes dela necessitarem Relao ou percentagem de tempo, em que uma unidade do equipamento de processamento est funcionando corretamente Princpios Auxiliares Autenticao Identificao Sigilo

Autorizao Auditoria Controle de Acesso Vias -O que Sou -O que Sei -O que Tenho Controle de Acesso Suporta os princpios da CIA So mecanismos que limitam o acesso a recursos, baseando-se na identidade do usurio, grupo que integra e funo que assume. Em segurana, suportado pela trade AAA (definida na RFC 3127) Auditoria (Accountability) a capacidade que um sistema

tem de determinar as aes e comportamentos de um nico indivduo no sistema, e de identificar este indivduo; Trilha de auditoria, tentativas de acesso, problemas e erros de mquina, e outros eventos monitorados ou controlados. Autenticao Propriedade de confirmar a identidade de uma pessoa ou entidade. Meio pelo qual a identidade de um usurio confirmada, e garante que ele realmente quem diz ser Autorizao So os direitos ou permisses, concedidos a um indivduo ou processo, que permite acesso a

um dado recurso. Aps a identificao e autenticao de um usurio terem sido estabelecidas, os nveis de autorizao iro determinar a extenso dos direitos que este usurio pode ter em um dado sistema. Sigilo Trata-se do nvel de confidencialidade e garantia de privacidade de um usurio no sistema; Ex.: Garante a privacidade dos dados de um usurio em relao ao operador do sistema. Identificao

Meio pelo qual o usurio apresenta sua identidade. Mais frequentemente utilizado para controle de acesso, necessrio para estabelecer Autenticao e Autorizao. Mecanismos de Controle de Acesso PARTE 3 Onde Comear ? Leis Imutveis da Segurana

Ningum acredita que nada de mal possa acontecer at que acontece; Segurana s funciona se a forma de se manter seguro for uma forma simples; Se voc no realiza as correes de segurana, sua rede no ser sua por muito tempo; Vigilncia eterna o preo da segurana; Segurana por Obscuridade, no segurana; LOGs, se no audit-los, melhor no tlos. Leis Imutveis da Segurana

Existe realmente algum tentando quebrar (adivinhar) sua senha; A rede mais segura uma rede bem administrada; A dificuldade de defender uma rede diretamente proporcional a sua complexidade; Segurana no se prope a evitar os riscos, e sim gerenci-los; Tecnologia no tudo. By Scott Pulp Security Program Manager at Microsoft Security Response Center Responsabilidades da Empresa Desde que uma empresa fornece acesso internet a seus funcionrios, esta empresa torna-se responsvel pelo que

ele faz, a menos que possa provar que tomou as medidas cabveis para evitar problemas Corporate Politics on the Internet: Connection with Controversy, 1996 Segurana nas Organizaes Segurana um processo que tenta manter protegido um sistema complexo composto de muitas entidades: Tecnologia (hardware, software, redes) Processos (procedimentos, manuais) Pessoas (cultura, conhecimento)

Estas entidades interagem das formas mais variadas e imprevisveis A Segurana falhar se focar apenas em parte do problema Tecnologia no nem o problema inteiro, nem a soluo inteira Ciclo de Segurana Anlise da Segurana (Risk Assessment) Definio e Atualizao de Regras de Segurana (Poltica de Segurana) Implementao e Divulgao das Regras de Segurana (Implementao)

Administrao de Segurana (Monitoramento, Alertas e Respostas a Incidentes) Auditorias (Verificao do Cumprimento da Poltica) Domnios de Conhecimento The International Information Systems Security Certification Consortium, Inc. [(ISC)] http://www.isc2.org A (ISC)2 define 10 domnios de conhecimento (CBK), para sua certificao introdutria CISSP Certified Information Systems Security Professional

Common Body of Knowledge CBK Common Body Of Knowledge Security Management Practices Access Control Systems Telecommunications and Network Security Cryptography Security Architecture and Models Operations Security Applications and Systems Development

Business Continuity Planning and Disaster Recovery Planning Law, Investigation, and Ethics Physical Security Outras Certificaes GIAC - Global Information Assurance Certification (Sans.Org) 3 Nveis de Expertise em 5 reas de Conhecimento reas de Nveis GIAC Silver Conhecimento

GIAC Gold 2 ou mais testes Silver + Pesquisa e Publicao GIAC Platinum Gold em 2 ou mais ACs + testes(3 Administrao de Segurana

Gerncia de Segurana Operaes Legislao Outras Certificaes CompTIA Security+ 5 Domnios de Conhecimento Communication Security Infrastructure Security Cryptography Operational Security General Security Concepts Outras Certificaes MCSO Mdulo Certified Security

Officer 2 Mdulos compreendendo: Conceitos, Fundamentos de Segurana da Informao Organizao de departamentos Gesto de pessoas Poltica de Segurana da Informao. Gesto Padres e Aplicaes

de Tecnologias Windows/Unix Segurana em redes e telecomunicaes Controle de acesso Arquitetura e modelos de segurana Criptografia Outros Recursos Academia Latino Americana de Segurana da Informao Parceria Mdulo / Microsoft Composta por: Estgio Bsico (4 mdulos) Graduao

Cada disciplina tem seu nmero de mdulos Em 2006 foram oferecidos o Estgio Bsico e a disciplina de ISO17799:2005 Ainda sem calendrio e nmero de vagas para 2007 Necessrio possuir usurio cadastrado no site do TechNet PARTE 4 Repositrios Sites teis http://www.insecure.org http://www.securityfocus.com http://www.sans.org http://www.digg.com http://techrepublic.com.com http://www.hackaday.com

http://slashdot.org http://www.modulo.com.br http://www.invasao.com.br RSS e PodCasts Agregadores: Itunes Democracy Player FireAnt Plugins do IE e Firefox Mdias udio mp3/mp4/aac Vdeo DivX/A3C/Streaming Alguns PodCasts

Security Now! 2600 - Off The Hook http://www.sploitcast.com TWiT This Week in Tech http://www.2600.com/offthehook SploitCast

http://www.grc.com/securitynow.htm http://www.twit.tv/TWiT Extreme Tech http://www.extremetech.com Video PodCasts HAK.5 Local Area Security

http://irongeek.com Hacking Illustrated Revision3 http://www.localareasecurity.com IronGeek http://www.hak5.org http://www.revision3.com Digital Life Television (DL Tv) http://dl.tv

Congressos e Eventos HOPE Hacker on Planet Earth DEFCon http://www.blackhat.com Archives H2HC Hackers 2 Hackers Conference http://www.defcon.org Archives

BlackHat http://www.hopenumbersix.net http://www.h2hc.org.br CCC.de Chaos Computer Club http://www.ccc.de Filmes Jogos de Guerra (WarGames)

1995, Angelina Jolie 1995, Keanu Reeves A Rede (The Net) 1995, Sandra Bullock 1999, vrios A Batalha do Atlntico (U-571) 2001, John Travolta 2000, Russell Wong

Piratas do Vale do Silcio (Pirates of Silicon Valley) 1999, Keanu Reeves Caada Virtual (Takedown) 2001, Ryan Phillippe Matrix (The Matrix) A Senha (Swordfish)

O Cyborg do Futuro (Johnny Mnemonic) 1992, Robert Redford Ameaa Virtual (Antitrust) Piratas de Computador (Hackers) 1983, vrios Quebra de Sigilo (Sneakers)

2000, Matthew McConaughey O Caador de Andrides (Blade Runner) 1982, Harrison Ford Listas de Discusso CISSPBr Yahoo Groups BugTraq Modulo Newsletter

Outras Fontes The Hacker News Network PARTE 5 Genealogia de um Hacker Hacker Unauthorized user who attempts to or gains access to an information system. A person who illegally gains access to your computer system.

www.infosec.gov.hk/english/general/glossary_gj.htm A person who illegally gains access to and sometimes tampers with information in a computer system. www.tecrime.com/0gloss.htm http://www.webster.com/dictionary/hacker A person who accesses computer files without authorization, often destroying vast amounts of data. www.boydslaw.co.uk/glossary/gloss_itip.html Linha do Tempo: Hacker - Novas tcnicas, antigos padres -Legislao:

Phreaker = Julgamento Freak, Phone, doFree primeiro hacker por invaso constante do - Negao de Servio, novos vros em arquivos de dados (mp3, jpeg, - Surgiu DoD poraps diversos a substituio anos, Pat Riddle das telefonistas AKA Captain por sistemas ZAP telefonicos ) -gerenciados Apenas acessar por computador j no era suficiente, distribuio de rpogramas e - Nasce a conscincia comum de Segurana da Informao - Lendae do jogos, o aparecimento

garoto cego que de individuos conseguiu que assoviar no mais um tom respeitavam de 2600 Hz os - Corporaes reconhecem a necessidade por segurana Proliferao enquantodeconversava cdigos tica com sua Combate tia a Surgimento - A mdia dos perpetua o Hacker como

uma ameaa PCs Crunch - Os Fato verdadeiros Captain hackers e ocomeam apito da caixa aHacker se distanciar de cereaisdos queque gerava agra ose ameaa da BELL TC - Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers mesmo conhece

ton como de 2600 Crackers Hz 1980-1985 1878-1969 - Surgem Anos 90 os termos White Hat e Black Hat - Surgem Steeve Jobs os primeiros + Steve Wozniak Virus e Worms + Altair8000 = 1o. BlueBox (Berkley) Anos- 70 Primeira gerao1985-1990 de- Kevin Hackers de Computadores; Mitnick 2000+ Primeiros

- Estudantes doRoubos, MIT -A-nos anos 60; Evoluo da cultura Hacker surge comhoje o na Bugs e Em resposta as diversas prises anunciadas Hackining: - Capacidade de alterar programas em Phreakers aparecimento do('hacks') PC

Federais mdia, o termo Hacker passaeano terfuturo uma conotao mainframes para melhorar - Filme programas. War Games pejorativa - Neste caso 'Hacker' - Surgimento conotao positiva. da 2600: Hacker Quaterly - tinha Surgeuma o filme Hackers

- Indicava pessoas -capazes levar programas almaquilo que possa Acessardecomputadores, e tudo de sua capacidade original. lhe ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo. Trilha Evolutiva White Hat Black Hat Hacker Cracker Script Kid Lammer Geek

Nerd Usurio Populao por segmento White e Black Hats Hackers e Crackers Script Kidies e Lammers Geeks e Nerds Usurios, Curiosos e Iniciantes PARTE 6 Ameaas Digitais Ataques Geralmente divididos nos seguintes tipos:

Ataques Ativos Pesquisa de vulnerabilidade, sniffing, ... Ataques de Senha DoS, DDoS, buffer overflow, inundao de SYN Ataques Passvos Pelo alvo geral do ataque (aplicaes, redes ou

misto) Se o ataque ativo ou passivo Pelo mecanismo de ataque (quebra de senha, explorao de cdigo, ...) Fora bruta, Dicionrio, hackish, Rainbow Tables Cdigo malicioso (malware) Vrus, trojans, worms, ... Ataques Ativos DoS/DDoS

Reduzir a qualidade de servio a nveis intolerveis Tanto mais difcil quanto maior for a infraestrutura do alvo Enquanto DoS de fcil execuo e pode ser corrigido, DDoS de difcil e no pode ser evitado Zombies e Mestres (Masters), ataque smurf BOTs e BOTNets, ataques massificados por banda larga Tipos Consumo de Recursos (largura de banda, cpu, RAM, ...) Pacotes malformados (todas as flags ligadas) Ataques Ativos (cont.) Buffer Overflow

Ataques SYN Sobrescrever o prprio cdigo em execuo Shell code, escrito em assembler Tem como objetivo executar algum cdigo, ou conseguir acesso privilegiado Fragilidade nativa do TCP/IP Conexo de 3-vias (Syn, Syn-Ack, Ack) Spoofing Dsniff

Se fazer passar por outro ativo da rede MITM (Man-In-The-Middle) Ataques Ativos (Cont.) Lixeiros Documentos sensveis mal descartados Informaes em hardwares obsoletos Falta de Poltica de Classificao da Informao Engenharia social Kevin Mitnick Normalmente relevada nos esquemas de

segurana Utiliza-se do orgulho e necessidade de autoreconhecimento, intrnseco do ser humano Um computador no estar seguro nem quando desligado e trancado em uma sala, pois mesmo assim algum pode ser instrudo a lig-lo. [ Kevin Mitnick A arte de enganar/The Art of Deception ] Ataques ativos por cdigo malicioso Malware MALicious softWARE No apenas Spyware ou Adware Payload Vs Vetor Vrus Auto replicante

Interfere com hardware, sistemas operacionais e aplicaes Desenvolvidos para se replicar e iludir deteco Precisa ser executado para ser ativado Ataques ativos por cdigo malicioso (cont) Cavalos de Tria (Trojans) Cdigo malicioso escondido em uma aplicao aparentemente legtma (um jogo

por exemplo) Fica dormente at ser ativado Muito comum em programas de gerncia remota (BO e NetBus) No se auto replica e precisa ser executado Bombas Lgicas Caindo em desuso pela utilizao de segurana no desenvolvimento Aguarda uma condio ser atingda Chernobyl, como exemplo famoso (26, Abril) Ataques ativos por cdigo malicioso (cont) Worms

Auto replicante, mas sem alterao de arquivos Praticamente imperceptveis at que todo o recurso disponvel seja consumido Meio de contaminao mais comum atravs de e-mails e/ou vulnerabilidades em aplicaes de rede No necessita de ponto de execuo Se multiplica em proporo geomtrica Exemplos famosos: LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ... Ataques ativos por cdigo malicioso

(cont) Back Door Trojan, root kits e programas legtmos VNC, PCAnyware, DameWare SubSeven, Th0rnkit Prov acesso no autenticado a um sistema Rootkit

Coleo de ferramentas que possibilitam a criao on-demand de backdoors Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir deteco Iniciam no boot junto com os processos do sistema Ataques Passvos Normalmente utilizado antes de um ataque ativo Pesquisa de Vulnerabilidades Pesquisa por Portas/Servios

http://www.insecure.org Nmap Escuta (sniffing) Extremamente difcil deteco No provoca rudo sensvel Senhas em texto claro, comunicaes no encriptadas Redes compartilhadas Vs comutadas Switch Vs Hub WireShark (Lin/Win), TCPDump (Lin) http://www.wireshark.org

http://www.tcpdump.org Ataques Passvos (cont) Ataques de Senha Muito comuns pela facilidade de execuo e taxa de sucesso Compara Hashs, no texto Fora Bruta

Teste de todos os caracteres possveis Taxa de 5 a 6 Milhes de testes/seg, em um P4 Ataques de Dicionrio Reduz sensivelmente o tempo de quebra J testa modificado para estilo hackish Cain&Abel, LC5, John The Ripper, ... B4n4n4, [email protected]@l, [email protected], R007, ... Rainbow Tables Princpio Time Memory Trade-off (TMTO) Vrus

http://www.youtube.com/watch?v=V6DmmYmCb8&feature=fvsr Problemas de Imagem http://www.youtube.com/watch? v=QQ7DJRr3zZI&feature=related Sala Cofre http://www.youtube.com/watch? v=rL43T5GgY20&playnext=1&list=PL07A68171110 E5C54 Sala Cofre Matrix http://www.youtube.com/watch? v=eW__mCgnLic&feature=related

Recently Viewed Presentations

  • Introduction to Oceans

    Introduction to Oceans

    Areas of Study in Aquatic Science. Physical: currents, tides, waves, pressure, temperature, depth, density, as relating to weather phenomenon. Geological: history of the Earth, seafloor features, sediments, changes over time. Chemical: evolution and composition of seawater, its influences on animal...
  • Released Common Exam 2012 Eric Angat Teacher NearFaster

    Released Common Exam 2012 Eric Angat Teacher NearFaster

    If it is summer in the northern hemisphere, which statement is true?. A. Earth has changed the tilt of its axis by 20. degrees due to its revolution. B. It is winter in the southern hemisphere due. to the tilt...
  • Assessing and Meeting the Needs of ... - Social Care Wales

    Assessing and Meeting the Needs of ... - Social Care Wales

    Assessing and Meeting the Needs of Individuals in the Secure Estate Overview [FACILITATORS NOTE: slides 1, 3, 4, 6 and 8 have animation]This overview forms part of the suite of learning materials that have been developed to support the implementation...
  • Charles Darwin and Natural Selection

    Charles Darwin and Natural Selection

    Joined the crew of the H.M.S. Beagle as its naturalist in 1831. Beagle's 5-year voyage explored South Pacific, coast of South America, and the Galápagos Islands. Studying Galápagos wildlife, especially the finches, contributed to Darwin's theory of natural selection.
  • Présentation PowerPoint

    Présentation PowerPoint

    LEONARDO DA VINCI Anchiano, Itália, 1452 Amboise, França, 1519 Descubra Leonardo da Vinci, um homem além do seu tempo. Os slides subseqüentes contêm pinturas e desenhos de sua autoria. Da Vinci foi um pintor renascentista, arquiteto, engenheiro, matemático e filósofo,...
  • An Introduction to Keeping Chickens www.Food4Macc.org Food4Macc Choice

    An Introduction to Keeping Chickens www.Food4Macc.org Food4Macc Choice

    An Introduction to Keeping Chickens www.Food4Macc.org Food4Macc www.Food4Macc.org Tel:- 07824 860 566 Leave your e-mail address if you would like to keep up to date with developments.
  • APA Formatting and Style Guide Purdue OWL staff

    APA Formatting and Style Guide Purdue OWL staff

    Note: Unlike MLA, APA is only interested in what they call "recoverable data"—that is, data which other people can find. For example, personal communications such as letters, memos, emails, interviews, and telephone conversations should not be included in the reference...
  • AMES Mentor Program Let your LinkedIn profile do the talking!

    AMES Mentor Program Let your LinkedIn profile do the talking!

    Venue: RMIT University Storey Hall, Building 16, Level 7, 336-348 Swanston Street Melbourne Victoria Australia. ... Up to 85% of jobs are NOT advertised. Up to 85% of business is done by referral. Best ways to get work - Networking,...