Apostila 1 Introdução à Segurança de Sistemas
Introdução Segurança de Informação está relacionada com a proteção existente ou necessária sobre dados que possuem valor para alguém ou uma organização. Possui aspectos básicos como confidencialidade, integridade e disponibilidade da informação que nos ajuda a entender as necessidades de sua proteção e que não se aplica ou está restrita a sistemas computacionais, nem a informações eletrônicas ou qualquer outra forma mecânica de armazenamento. 2
Introdução Ela se aplica a todos os aspectos de proteção e armazenamento de informações e dados, em qualquer forma. Um computador (ou sistema computacional) é dito seguro se este atende a requisitos básicos relacionados aos recursos que o compõem. 3
Introdução CIDAL é um acrônimo para os atributos principais da informação (CID pilares da Segurança da Informação Confidencialidade, Integridade e Disponibilidade), somados aos atributos considerados complementares: Autenticidade e Legalidade 4
Introdução Confidencialidade a informação só está disponível para aqueles devidamente autorizados dentro de um grupo. Podemos estabelecer uma escala definindo o grau de confidencialidade e a dimensão aproximada do número de componentes máximo para cada grau. Exemplo: Ultra-secreta 1 pessoa em 1000; Secreta 10 pessoas em 1000; Confidencial 100 pessoas em 1000; Reservada 1000 pessoas em 1000 (apenas as pessoas da empresa precisam conhecer a informação); Pública ou ostensiva sem restrições, em alguns casos é interesse da empresa que o público conheça a informação. 5
Introdução Integridade a informação não é destruída ou corrompida e o sistema tem um desempenho correto Disponibilidade os serviços/recursos do sistema estão disponíveis sempre que forem necessários. 6
Introdução Autenticidade Se a informação é confidencial, devese garantir que a pessoa ou sistema que está acessando a informação realmente é quem diz ser e está autorizado a acessá-la. Legalidade Atualmente, a sua ausência é a causadora da maioria dos grandes incidentes de segurança das empresas. Pessoas habilitadas para acesso à informação se corrompem e usam os seus direitos físicos e tecnológicos de acesso à informação para obterem vantagens financeiras. 7
Introdução Alguns exemplos de violações a cada um desses requisitos são: Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda 8
Política de segurança da empresa Considerações Segundo pesquisas, e constatações feitas pelas próprias empresas especializadas em vender projetos e produtos voltados para o segmento de segurança de informação: As empresas brasileiras são vulneráveis, frágeis e passíveis de invasões porque a grande maioria dos executivos não apenas os responsáveis pela área de tecnologia adotam posturas paternalistas e não profissionais com relação às informações dentro das corporações. 9
Política de segurança da empresa Considerações Políticas de segurança são responsabilidades dos CIOs, cabendo aos mesmos escreverem as diretrizes, sejam elas agradáveis ou não para os funcionários. Especialistas reconhecem que cem por cento de segurança é impossível de ser alcançado, todavia é possível alcançar um alto grau de garantia da informação se houver mecanismos de controle diário, 24 horas por dia, sete dias por semana. 10
Tipos de ataque Externos Vulnerabilidade na rede (protocolos, implementações, configuração etc.). Vulnerabilidade nas aplicações (web servers, etc.). Causas mais prováveis Falta de proteção ou proteção insuficiente. Confiança excessiva. Inexistência de auditoria Configurações fracas de roteadores 11
Tipos de ataque Internos Acesso não autorizado a dados. Sabotagem. Engenharia social. Causas mais prováveis Inexistência de acesso hierárquico. Retaliação. 12
Tipos de ataque Implementar uma política de segurança em uma empresa ou organização implica em implementar controles de segurança do tipo: Físicos; Lógicos; Organizacionais; Pessoais; Operacionais; De desenvolvimento de aplicações; Das estações de trabalho; Dos servidores; De proteção na transmissão de dados. 13
Tipos de ataque O desenvolvimento de uma política de segurança deve ser uma atividade interdepartamental. As áreas afetadas devem participar do processo envolvendo-se e comprometendo-se com as metas propostas além de: Entender o que é necessário; Saber por o que são responsáveis; O que é possível com o processo. 14
Controles de segurança Controles físicos O controle de acesso físico pode ser compreendido como o tipo de sistema que torna o acesso físico a uma determinada área, como, por exemplo, um prédio, uma sala, uma empresa, uma casa, um container etc., totalmente controlado, sendo que somente pessoas autorizadas são permitidas a adentrar. 15
Controles de segurança Controles físicos Pode ser realizado por diversas maneiras: Por pessoas: um guarda, segurança ou mesmo um recepcionista; Por meios mecânicos: chaves e fechaduras; Por meios tecnológicos: sistemas baseados em cartões de acesso, Controle biométrico 16
Controles de segurança Controles lógicos Permite que os sistemas de tecnologia da informação verifiquem a autenticidade e a identidade dos usuários que tentam acessar seus sistemas, computadores ou utilizar seus serviços. Visa: Prevenção e fortalecimento de proteção seletiva de recursos; Prevenção causados por vírus, e acesso de invasores; Fornecer / retirar autorização de acesso; 17
Controles de segurança Controles lógicos O login e senha é o controle lógico mais comum, permitindo a Identificação e Autenticação do usuário. A identificação permite à entrada de um índice que aponta aquele usuário, tal como a colocação de um smartcard ou a digitação de um username. Já a autenticação do usuário pode ser entendida como o processo no qual esse prova ser quem ele diz que é. Na maioria das vezes esse processo é realizado digitando uma senha. Já a mais moderna, confiável e também mais indicada forma de controle de acesso lógico é realizada através da tecnologia biométrica, na qual a autenticação do usuário baseia-se em quem ele realmente é (tal como o reconhecimento facial, reconhecimento da voz, da escrita, dentre outros meios); e não através do que ele carrega ou de uma senha que ele saiba. 18
Controles de segurança Controles organizacionais Referem-se à: Responsabilizar cada usuário por lista de deveres; Especificar em cada lista o que, quando, e como deve ser feito; Esclarecer as consequências do não cumprimento da lista. 19
Controles de segurança Controles pessoais Referem-se à: Criação de motivação / treinamento sobre segurança; Não divulgar senhas; Bloqueio dos arquivos pessoais do empregado quando da sua demissão; Troca de senha quando da demissão do funcionário; 20
Controles de segurança Controles pessoais Referem-se à: Inclusão de tópicos de segurança computacional no manual dos empregados; Cobrar aspectos de segurança na avaliação o funcionário. 21
Controles de segurança Controles operacionais Referem-se à: Acompanhar e registrar cada problema, sua causa e sua solução; Planejar estruturas de arquivos e de diretórios Efetuar auditorias; 22
Controles de segurança Controles operacionais Prever / fornecer proteção de energia ao parque computacional e de conectividade (hubs, switches, routers, etc.); Garantir a confiabilidade e a integridade dos dados avaliando o aspecto custo da rede. 23
Controles de segurança Controles de desenvolvimento de aplicações Referem-se à: 1) No caso das empresas não-desenvolvedoras de aplicações: Adquirir software necessário e documentação necessária. 2) No caso de empresas desenvolvedoras de aplicações: Verificar a existência / eliminar bugs em softwares; Dar apoio de software em outros locais da organização; Manter / atualizar documentação. 24
Controles de segurança Controles das estações de trabalho Referem-se à: Proteger os computadores contra roubo de placas, e acessos ao interior do gabinete (uso de travas); Controlar instalação de programas de captura de senha; Controlar acesso às estações. 25
Controles de segurança Controles de servidor Referem-se à: Prover proteção diversa (contra incêndios, umidade, temperatura, falha elétrica etc); Mantê-lo em ambiente isolado com acesso físico e lógico controlados. 26
Controles de segurança Controles de proteção na transmissão de dados Referem-se à: Uso de criptografia; Usar links de alta confiabilidade e disponibilidade, se possível com redundância Filtros / proxy /firewall nas fronteiras da rede, entre redes. 27
Mecanismos de segurança Ajudam a implementar políticas de segurança e seus serviços: Criptografia Filtros Proxy Firewall 28
Aspectos de segurança na Internet 29
Aspectos de segurança na Internet Análise de risco 3.175.983.691 Usuários de Internet no Mundo 169.174.764.802 Emails enviados hoje 3.104.190 Mensagens de blogs escritas hoje 657.131.016 Tweets enviados hoje http://www.worldometers.info/br/ acesso em 02/08/2015 Usuários Perigosos numa estimativa conservadora: Vamos assumir que 1% tem Internet más intenções, teremos um potencial de: Usuários Usuários com más intenções 30
Aspectos de segurança na Internet Fatores de influência na segurança Internet não foi projetada para ser segura: Vulnerabilidade dos serviços TCP/IP; Facilidade de spying e spoofing. Falta de política de segurança. Configuração complexa. 31
Aspectos de segurança na Internet Fatores de influência na segurança Incidentes conhecidos: Exploração da vulnerabilidade do programa sendmail do UNIX; Versão popular e gratuita de um servidor FTP continha um Cavalo de Tróia ; Programas sniffer para monitorar tráfego e localizar usernames e passwords. 32
Aspectos de segurança na Internet Fatores de influência na segurança Problemas mais comuns: Sistemas Operacionais utilizados têm diversas vulnerabilidades; Pontos fracos do conjunto de protocolos TCP/IP são explorados com frequência; CRACK: programa para descobrir senhas. 33
Aspectos de segurança na Internet Fatores de influência na segurança Autenticação pobre: Senhas estáticas são fáceis de quebrar. Métodos mais comuns: - quebra da senha cifrada; - monitoração dos canais de comunicação. 34
Aspectos de segurança na Internet Fatores de influência na segurança Facilidade de spying : Senha viaja não-cifrada na Internet: - Basta monitorar os pacotes IP para procurar um par[username, password]. Mensagens Eletrônicas, sessões FTP ou TELNET podem ser monitoradas para obter informações sensíveis. 35
Aspectos de segurança na Internet Fatores de influência na segurança Spoofing : Uso de endereço IP conhecido para ganhar acesso a serviços TCP ou UDP: IP Source Routing; Host hostil pode personificar outro sistema; E-Mail, chats é muito fácil de personificar. 36
Conectando à Internet Realidade atual Complexa e interconectada. Equipamento e usuários estão cada vez mais simples de configurar. Necessidade de segurança e privacidade forçam a criação de zonas de confiança. Questões de Segurança são complexas - demandam esforço Especializado. 100 80 75 70 95 0 510 90 100 10 85 15 65 60 55 35 40 50 45 20 25 30 37
70 75 80 65 85 90 95 100 510 0 35 15 10 30 25 20 Riscos de Segurança - Roteamento Dinâmico. - Transmissões em aberto. - Ataques de Senhas. - Hardware cada vez mais rápido. - Administração de Sistemas. - Negação de Serviço. - IP spoofing. - Cheswick/Bellovin s: 42 maneiras para se quebrar a segurança de uma rede. - Precisamos de LEGISLAÇÃO. 38
Riscos de Segurança Três categorias genéricas de risco: Invasão (Intrusion): Atacante ganha acesso a sistemas e é capaz de utilizá-lo como um usuário legítimo. Espionagem Industrial (Industrial Espionage): Estatísticas mostram aumento deste tipo de atividade; 122 países ativamente envolvidos em espionagem industrial/econônica [NCSA96]. Negação de Serviço (Denial of Service): Visa negar acesso a recursos pelos usuários legítimos. 39
Riscos de Segurança Tipos de ataque: Engenharia Social: Enganando a vítima por prazer ou lucro. Personificação: Roubo de direitos de acesso de usuários autorizados. Exploração: Explorando furos em software ou sistemas operacionais. Confiança transitiva: Exploração de confiança mútua entre sistemas ou entre redes. 40
Riscos de Segurança Tipos de ataque: Ataque a partir de dados: Cavalos de Tróia, armadilhas, vírus, programas de ataque. Ataques de Infraestrutura: Explorando características ou bugs de protocolo ou infraestrutura (DNS, ICMP, Source Routing). Mágica: Ataques novos, ainda não vistos. Ataques combinados. 41
Aspectos de segurança O que precisamos proteger? Informação: Acesso não autorizado; Deleção, adição ou modificação; Exposição não autorizada; Usuários autorizados com acesso negado. Sua Reputação: Outros podem assumir sua identidade. Seus Bens: Outros podem utilizar seu equipamento para propósitos escusos; Ataques e má utilização podem causar perda de serviço. 42
ADEQUAÇÃO A LEGISLAÇÃO/ NORMAS E REGULAMENTAÇÕES ISO 27001 Publicações do Governo Federal (decreto 4553 e outros) Publicações do Banco Central (resolução 2554 e outras) Regulamentação da ICP-Brasil 27% 30% 37% 63,5% COBIT Publicações da CVM (Resolução 358 e outras) Publicações da Anatel Publicações da SEC (Sarbanes e Oxley e outras) Publicações do CFM Outras 6% 6% 20% 20% 17% 11,5% 43
AMEAÇAS, ATAQUES E INVASÕES Vírus Funcionários insatisfeitos Divulgação de senhas Acessos indevidos 53% 51% 49% 66% PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Vazamento de informações 47% Fraudes, erros e acidentes 41% Hackers 39% Falhas na segurança física Uso de notebooks Fraudes em e-mail 37% 31% 29% De 1 a 6 meses 25% Mais de 1 ano 22% Menos de 1 mês 17% INCIDÊNCIA DE ATAQUES E INVASÕES Não sabem informar De 6 meses a 1 ano Nunca sofreram 16% 13% 7% 44
AMEAÇAS, ATAQUES E INVASÕES PREJUÍZOS CONTABILIZADOS 35% das empresas no Brasil tiveram perdas financeiras; 22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão; 65% não conseguem quantificar o valor dos prejuízos. De R$ 50 mil a R$ 500 mil 8% De R$ 500 mil a R$ 1 milhão 4% Mais de 1 milhão 1% Até R$ 50 mil 22% Não foi possível quantificar 65% MEDIDAS ADOTADAS APÓS ATAQUES E INVASÕES 28% => Limitaram-se à correção do problema 28% => Optaram por providências internas 15% => Adotaram medidas legais 7% => Não tomaram nenhuma atitude 45
AMEAÇAS, ATAQUES E INVASÕES PRINCIPAIS RESPONSÁVEIS Hackers Causa desconhecida Funcionários Ex-funcionários Prestadores de serviço Concorrentes Outros 4% 4% 1% 10% 26 % 23 % 32 % Acesso remoto 6% Invasão física 6% Outros 5% PRINCIPAIS PONTOS DE INVASÃO Sistemas Internos 23% Internet 60% 46
AMEAÇAS, ATAQUES E INVASÕES PRINCIPAIS OBSTÁCULOS PARA IMPLEMENTAÇÃO DA SEGURANÇA Falta de consciência dos executivos Dificuldade em demonstrar o retorno Custo de implantação Falta de consciência dos usuários Falta de prioridade 23% 18% 16% 14% 12% Falta de orçamento Falta de profissionais capacitados Falta de ferramenta no mercado Outros 6% 5% 1% 5% 47
MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA Está em desenvolvimento 19% Possui, mas está desatualizada 18% Não possui Política formalizada 12% Não sabem informar 1% Possui e está atualizada 50% PLANO DE CONTINUIDADE DE NEGÓCIOS Realizada há 6 meses Realizada há 1 ano ou mais Nunca foi realizada Pretende realizar em 6 meses Não sabem informar Pretende realizar em 1 ano Não pretende realizar Possui, mas está desatualizado ou não foi testado 15% Possui, está atualizado e já foi testado 21% 3% 1% 6% 15% Não sabem informar 7% 22% 27% 26% Está em desenvolvimento 30% Não possui um plano formalizado 27% 48
MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO MEDIDAS DE SEGURANÇA MAIS IMPLEMENTADAS DAS EMPRESAS PESQUISADAS " TOP 10" MEDIDAS DE SEGURANÇA MAIS IMPLEMENTADAS Ranking % 1º Antivírus 90% 2º Sistema de backup 76,5% 3º Firewall 75,5% 4º Política de Segurança 72,5% 5º Capacitação Técnica 70% 6º Software de controle de acesso 64% 7º Seg. física na sala de servidores 63% 8º Proxy server 62% 9º Criptografia 57% 10º Análise de riscos 56% 49
MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO Tecnologia Security Office Não há Auditoria / Inspetoria Gestão de Riscos Qualidade Compliance Outros NÚMERO DE PROFISSIONAIS DEDICADOS 6% 4% 3% 2% 1% 9% De 2 a 4 33% 1 30% Mais de 10 24% De 5 a 10 13% 25,5% 49,5% RESPONSÁVEIS PELA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS DEPARTAMENTOS QUE INTERAGEM NO DIA-A-DIA TI 88% Auditoria 56% Jurídico 36% Segurança Patrimonial 33% RH 31% Comunicação 27% Compliance 22% Gestão de Riscos 20% Conselho de Administração 18% Qualidade 14% SMS - Segurança / Meio Ambiente e Saúde 6% 50
USO DA INTERNET NAS ORGANIZAÇÕES ACESSO REMOTO FORMAS DE ACESSO REMOTO A REDE DAS EMPRESAS Conexão segura via internet (criptografada)...69% Possui links dedicados com terceiros...54% Conexão comum via internet...38,5% Permite acesso externo de terceiros (via Internet)... 27% O usuário acessa remotamente só o correio eletrônico...26% Não existe acesso remoto à rede...6% 51
Referência Bibliografica http://nmap-online.com/ http://www.rnp.br/newsgen/0003/ddos.html http://www.openwall.com/john/ http://dsic.planalto.gov.br/ INNARELLI, Humberto Celeste - O funcionamento da técnica enumeration e seu impacto na segurança das redes corporativas - Fatec SP SOBRAL,João Bosco Mangueira Segurança de Rede - Universidade Federal de Santa Catarina (UFSC) FEITOSA, Eduardo Luzeiro - Segurança em Sistemas de Informação - UFPE 52