introdu o a seguran a da informa o n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Introdução a Segurança da Informação PowerPoint Presentation
Download Presentation
Introdução a Segurança da Informação

Loading in 2 Seconds...

play fullscreen
1 / 63

Introdução a Segurança da Informação - PowerPoint PPT Presentation


  • 158 Views
  • Uploaded on

Introdução a Segurança da Informação. Carlos Sampaio. Conteúdo Programático. Parte 1: A Informação Parte 2: Conceitos Parte 3: Por onde começar? Parte 4: Repositórios de Informação Parte 5: Genealogia de um Hacker Parte 6: Ameaças Digitais. PARTE 1. A Informação.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Introdução a Segurança da Informação' - adrienne


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
conte do program tico
Conteúdo Programático
  • Parte 1: A Informação
  • Parte 2: Conceitos
  • Parte 3: Por onde começar?
  • Parte 4: Repositórios de Informação
  • Parte 5: Genealogia de um Hacker
  • Parte 6: Ameaças Digitais
parte 1
PARTE 1
  • A Informação
informa o michaelis
Informação (Michaelis)
  • do Lat. informatione

s. f.,

Ato ou efeito de informar ou informar-se;

Comunicação;

Conjunto de conhecimentos sobre alguém ou alguma coisa;

Conhecimentos obtidos por alguém;

Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens;

Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.

propriedade michealis
Propriedade(Michealis)
  • do Lat. proprietate

s. f.,

Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno;

Bens, posses;

Patrimônio físico(tangível) e imaterial(intangível).

considera o
Consideração
  • E quando o patrimônio é a informação?
considera es
Considerações
  • Segundo a Universidade da Califórnia em Berkeley(2005):
    • Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB;
    • Este número cresce em cerca de 700 mil páginas por dia.
  • Velhos jargões
    • “O segredo é a alma do negócio”;
  • Novas tendências
    • Mundo Globalizado, Ubiqüidade, Acesso a Informação.
parte 2
PARTE 2
  • Conceitos
axioma de seguran a
Axioma de Segurança

“Uma corrente não é mais forte que o seu elo mais fraco”

seguran a da informa o
Segurança da Informação
  • “A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bens), controlando o risco de revelação ou alteração por pessoas não autorizadas.”
pol tica de seguran a
Política de Segurança
  • Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação
ativos bens

Dados

  • Número de Cartões de Crédito
  • Planos de Marketing
  • Códigos Fonte
  • Informações de RH

Comunicação

  • Logins
  • Transação Financeira
  • Correio Eletrônico

Serviços

  • Web sites
  • Acesso a Internet
  • Controladoresde Domínio
  • ERP
Ativos (Bens)
defini es
Definições
  • Ameaça
    • Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recurso;
  • Vulnerabilidade
    • Característica de fraqueza de um bem;
    • Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.
conceitos b sicos
Conceitos Básicos
  • Risco
    • A probabilidade da ocorrência de uma ameaça em particular
    • A probabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso
amea a vulnerabilidade e risco
Ameaça, Vulnerabilidade e Risco
  • Ameaça (evento)
    • assalto a uma agência bancária
  • Vulnerabilidade (ponto falho)
    • liberação manual das portas giratórias pelos vigilantes
  • Risco
    • baixo, devido ao percentual de assaltos versus o universo de agências
    • alto, se comparando as tentativas frustradas versus as bem sucedidas
conceitos fundamentais

Confidencialidade

Segurança

Disponibilidade

(Availability)

Integridade

Conceitos Fundamentais
  • Princípios da Segurança
cia confidencialidade
CIA – Confidencialidade
  • Propriedade de manter a informação a salvo de acesso e divulgação não autorizados;
  • Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadas.
cia integridade
CIA – Integridade
  • Propriedade de manter a informação acurada, completa e atualizada
  • Princípio de segurança da informação através do qual é garantida a autenticidade da informação
  • O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico
cia disponibilidade availability
CIA – Disponibilidade (Availability)
  • Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem
  • Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente
princ pios auxiliares

Controle de Acesso

Identificação

Autorização

Auditoria

Autenticação

Sigilo

Princípios Auxiliares
  • Métodos
  • - DAC
  • MAC
  • RBAC
  • Vias
  • O que Sou
  • O que Sei
  • O que Tenho
controle de acesso
Controle de Acesso
  • Suporta os princípios da CIA
  • São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.
  • Em segurança, é suportado pela tríade AAA (definida na RFC 3127)
auditoria accountability
Auditoria (Accountability)
  • É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;
  • Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.
autentica o
Autenticação
  • Propriedade de confirmar a identidade de uma pessoa ou entidade.
  • Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser
autoriza o
Autorização
  • São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.
  • Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.
sigilo
Sigilo
  • Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema;
  • Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema.

Identificação

  • Meio pelo qual o usuário apresenta sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização.
parte 3
PARTE 3
  • Onde Começar ?
leis imut veis da seguran a
Leis Imutáveis da Segurança
  • Ninguém acredita que nada de mal possa acontecer até que acontece;
  • Segurança só funciona se a forma de se manter seguro for uma forma simples;
  • Se você não realiza as correções de segurança, sua rede não será sua por muito tempo;
  • Vigilância eterna é o preço da segurança;
  • Segurança por Obscuridade, não é segurança;
  • LOGs, se não auditá-los, melhor não tê-los.
leis imut veis da seguran a1
Leis Imutáveis da Segurança
  • Existe realmente alguém tentando quebrar (adivinhar) sua senha;
  • A rede mais segura é uma rede bem administrada;
  • A dificuldade de defender uma rede é diretamente proporcional a sua complexidade;
  • Segurança não se propõe a evitar os riscos, e sim gerenciá-los;
  • Tecnologia não é tudo.

By Scott Pulp – Security Program Manager at Microsoft Security Response Center

responsabilidades da empresa
Responsabilidades da Empresa
  • “Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas”

Corporate Politics on the Internet: Connection with Controversy, 1996

seguran a nas organiza es
Segurança nas Organizações
  • Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades:
    • Tecnologia (hardware, software, redes)
    • Processos (procedimentos, manuais)
    • Pessoas (cultura, conhecimento)
  • Estas entidades interagem das formas mais variadas e imprevisíveis
  • A Segurança falhará se focar apenas em parte do problema
  • Tecnologia não é nem o problema inteiro, nem a solução inteira
ciclo de seguran a
Ciclo de Segurança
  • Análise da Segurança (Risk Assessment)
  • Definição e Atualização de Regras de Segurança (Política de Segurança)
  • Implementação e Divulgação das Regras de Segurança (Implementação)
  • Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)
  • Auditorias (Verificação do Cumprimento da Política)
dom nios de conhecimento
Domínios de Conhecimento
  • “The International Information Systems Security Certification Consortium, Inc. [(ISC)²]”
    • http://www.isc2.org
  • A (ISC)2 define 10 domínios de conhecimento (CBK), para sua certificação introdutória CISSP
    • Certified Information Systems Security Professional
    • Common Body of Knowledge
cbk common body of knowledge
CBK – Common Body Of Knowledge
  • Security Management Practices
  • Access Control Systems
  • Telecommunications and Network Security
  • Cryptography
  • Security Architecture and Models
  • Operations Security
  • Applications and Systems Development
  • Business Continuity Planning and Disaster Recovery Planning
  • Law, Investigation, and Ethics
  • Physical Security
outras certifica es
Outras Certificações
  • GIAC - Global Information Assurance Certification (Sans.Org)
    • 3 Níveis de Expertise em 5 Áreas de Conhecimento
  • Níveis
    • GIAC Silver
      • 2 ou mais testes
    • GIAC Gold
      • Silver + Pesquisa e Publicação
    • GIAC Platinum
      • Gold em 2 ou mais AC’s + testes(3 dias)
  • Áreas de Conhecimento
    • Administração de Segurança
    • Gerência de Segurança
    • Operações
    • Legislação
    • Auditoria
outras certifica es1
Outras Certificações
  • CompTIA – Security+
    • 5 Domínios de Conhecimento
      • Communication Security
      • Infrastructure Security
      • Cryptography
      • Operational Security
      • General Security Concepts
outras certifica es2
Outras Certificações
  • MCSO – Módulo Certified Security Officer
    • 2 Módulos compreendendo:
      • Conceitos, Padrões e Aplicações
        • Fundamentos de Segurança da Informação
        • Organização de departamentos
        • Gestão de pessoas
        • Política de Segurança da Informação.
      • Gestão de Tecnologias
        • Windows/Unix
        • Segurança em redes e telecomunicações
        • Controle de acesso
        • Arquitetura e modelos de segurança
        • Criptografia
outros recursos
Outros Recursos
  • Academia Latino Americana de Segurança da Informação
    • Parceria Módulo / Microsoft
    • Composta por:
      • Estágio Básico (4 módulos)
      • Graduação
        • Cada disciplina tem seu número de módulos
        • Em 2006 foram oferecidos o Estágio Básico e a disciplina de ISO17799:2005
        • Ainda sem calendário e número de vagas para 2007
        • Necessário possuir usuário cadastrado no site do TechNet
parte 4
PARTE 4
  • Repositórios
sites teis
Sites Úteis
  • http://www.insecure.org
  • http://www.securityfocus.com
  • http://www.sans.org
  • http://www.digg.com
  • http://techrepublic.com.com
  • http://www.hackaday.com
  • http://slashdot.org
  • http://www.modulo.com.br
  • http://www.invasao.com.br
rss e podcasts
RSS e PodCasts
  • Agregadores:
    • Itunes
    • Democracy Player
    • FireAnt
    • Plugins do IE e Firefox
  • Mídias
    • Áudio mp3/mp4/aac
    • Vídeo DivX/A3C/Streaming
alguns podcasts
Alguns PodCasts
  • Security Now!
    • http://www.grc.com/securitynow.htm
  • 2600 - Off The Hook
    • http://www.2600.com/offthehook
  • SploitCast
    • http://www.sploitcast.com
  • TWiT – This Week in Tech
    • http://www.twit.tv/TWiT
  • Extreme Tech
    • http://www.extremetech.com
video podcasts
Video PodCasts
  • HAK.5
    • http://www.hak5.org
  • Local Area Security
    • http://www.localareasecurity.com
  • IronGeek
    • http://irongeek.com
    • Hacking Illustrated
  • Revision3
    • http://www.revision3.com
  • Digital Life Television (DL Tv)
    • http://dl.tv
congressos e eventos
Congressos e Eventos
  • HOPE – Hacker on Planet Earth
    • http://www.hopenumbersix.net
  • DEFCon
    • http://www.defcon.org – Archives
  • BlackHat
    • http://www.blackhat.com – Archives
  • H2HC – Hackers 2 Hackers Conference
    • http://www.h2hc.org.br
  • CCC.de – Chaos Computer Club
    • http://www.ccc.de
filmes
Jogos de Guerra (WarGames)

1983, vários

Quebra de Sigilo (Sneakers)

1992, Robert Redford

Piratas de Computador (Hackers)

1995, Angelina Jolie

O Cyborg do Futuro (Johnny Mnemonic)

1995, Keanu Reeves

A Senha (Swordfish)

2001, John Travolta

A Rede (The Net)

1995, Sandra Bullock

Ameaça Virtual (Antitrust)

2001, Ryan Phillippe

Matrix (The Matrix)

1999, Keanu Reeves

Caçada Virtual (Takedown)

2000, Russell Wong

Piratas do Vale do Silício (Pirates of Silicon Valley)

1999, vários

A Batalha do Atlântico (U-571)

2000, Matthew McConaughey

O Caçador de Andróides (Blade Runner)

1982, Harrison Ford

Filmes
listas de discuss o
Listas de Discussão
  • CISSPBr
    • Yahoo Groups
  • BugTraq
  • Modulo Newsletter

Outras Fontes

  • The Hacker News Network
parte 5
PARTE 5
  • Genealogia de um Hacker
hacker
Hacker
  • “Unauthorized user who attempts to or gains access to an information system.”
    • www.tecrime.com/0gloss.htm
  • “A person who illegally gains access to your computer system.”
    • www.infosec.gov.hk/english/general/glossary_gj.htm
  • “A person who illegally gains access to and sometimes tampers with information in a computer system.”
    • http://www.webster.com/dictionary/hacker
  • “A person who accesses computer files without authorization, often destroying vast amounts of data.”
    • www.boydslaw.co.uk/glossary/gloss_itip.html
linha do tempo hacker

1985-1990

Roubos, Bugs e Federais

2000+

Hackining: hoje e no futuro

Anos 70

Primeiros Phreakers

Combate a ameaça Hacker

Proliferação dos PCs

Anos 90

1980-1985

Linha do Tempo: ‘Hacker’
  • Novas técnicas, antigos padrões
  • Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg,…)
  • Nasce a consciência comum de Segurança da Informação
  • Corporações reconhecem a necessidade por segurança
  • A mídia perpetua o Hacker como uma ameaça
  • Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers
  • Surgem os termos ‘White Hat’ e ‘Black Hat’
  • - Phreaker = Freak, Phone, Free
  • - Surgiu após a substituição das telefonistas por sistemas telefonicos gerenciados por computador
  • - Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz enquanto conversava com sua tia
  • Fato Captain Crunch e o apito da caixa de cereais que gerava o mesmo ton de 2600 Hz
  • Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley)
  • Legislação: Julgamento do primeiro hacker por invasão constante do DoD por diversos anos, Pat Riddle AKA Captain ZAP
  • Apenas acessar já não era suficiente, distribuição de rpogramas e jogos, e o aparecimento de individuos que não mais respeitavam os códigos de ética
  • Os verdadeiros hackers começam a se distanciar dos que agra se conhece como ‘Crackers’
  • Surgem os primeiros Virus e Worms

Surgimento da BELL TC

1878-1969

- Primeira geração de Hackers de Computadores;

- Estudantes do MIT nos anos 60;

- Capacidade de alterar programas ('hacks') em mainframes para melhorar programas.

- Neste caso 'Hacker' tinha uma conotação positiva.

- Indicava pessoas capazes de levar programas além de sua capacidade original.

  • Kevin Mitnick
  • Em resposta as diversas prisões anunciadas na mídia, o termo ‘Hacker’ passa a ter uma conotação pejorativa
  • Surge o filme Hackers
  • A Evolução da cultura Hacker surge com o aparecimento do PC
  • Filme War Games
  • Surgimento da 2600: Hacker Quaterly
  • Acessar computadores, e tudo aquilo que possa lhe ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo.
trilha evolutiva
Trilha Evolutiva

White Hat

Black Hat

Hacker

Cracker

Script Kid

Lammer

Geek

Nerd

Usuário

popula o por segmento
População por segmento

White e Black Hats

Hackers e Crackers

Script Kidies e Lammers

Geeks e Nerds

Usuários, Curiosos e Iniciantes

vt parte 1 1 5 ponto
VT: Parte 1 (1,5 ponto)
  • Dividir a sala em 6 grupos aproximadamente iguais.
  • Cada grupo apresentará um dos temas abaixo, sendo 15 min para apresentação e 5 min para perguntas
  • Data da Apresentação:
    • Próx. Quarta-Feira (14/MAR/2007)
  • Composição do trabalho:
    • Uma apresentação (ex.: PPT) – 1 ponto
    • Uma pesquisa sobre o tema escolhido (ex.: DOC) – 0,5 ponto
  • Temas:
    • Vírus
    • Worm
    • Backdoor
    • Cavalo de Tróia (Trojan)
    • Bomba Lógica
    • RootKit
parte 6
PARTE 6
  • Ameaças Digitais
ataques
Ataques
  • Geralmente divididos nos seguintes tipos:
    • Pelo alvo geral do ataque (aplicações, redes ou misto)
    • Se o ataque é ativo ou passivo
    • Pelo mecanismo de ataque (quebra de senha, exploração de código, ...)
  • Ataques Ativos
    • DoS, DDoS, buffer overflow, inundação de SYN
  • Ataques Passívos
    • Pesquisa de vulnerabilidade, sniffing, ...
  • Ataques de Senha
    • Força bruta, Dicionário, “hackish”, Rainbow Tables
  • Código malicioso (malware)
    • Vírus, trojans, worms, ...
ataques ativos
Ataques Ativos
  • DoS/DDoS
    • Reduzir a qualidade de serviço a níveis intoleráveis
    • Tanto mais difícil quanto maior for a infra-estrutura do alvo
    • Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado
    • “Zombies” e Mestres (Masters), ataque smurf
    • BOTs e BOTNets, ataques “massificados” por banda larga
    • Tipos
      • Consumo de Recursos (largura de banda, cpu, RAM, ...)
      • Pacotes malformados (todas as flags ligadas)
ataques ativos cont

Dsniff

Ataques Ativos (cont.)
  • Buffer Overflow
    • Sobrescrever o próprio código em execução
    • “Shell code”, escrito em assembler
    • Tem como objetivo executar algum código, ou conseguir acesso privilegiado
  • Ataques SYN
    • Fragilidade nativa do TCP/IP
    • Conexão de 3-vias (Syn, Syn-Ack, Ack)
  • Spoofing
    • Se fazer passar por outro ativo da rede
    • MITM (Man-In-The-Middle)
ataques ativos cont1
Ataques Ativos (Cont.)
  • Lixeiros
    • Documentos sensíveis mal descartados
    • Informações em hardwares obsoletos
    • Falta de Política de Classificação da Informação
  • Engenharia social
    • Kevin Mitnick
    • Normalmente relevada nos esquemas de segurança
    • Utiliza-se do orgulho e necessidade de auto-reconhecimento, intrínseco do ser humano

“Um computador não estará seguro nem quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído a ligá-lo.”

[ Kevin Mitnick – A arte de enganar/The Art of Deception ]

ataques ativos por c digo malicioso
Ataques ativos por código malicioso
  • Malware
    • MALicious softWARE
    • Não apenas Spyware ou Adware
    • “Payload” Vs Vetor
  • Vírus
    • Auto replicante
    • Interfere com hardware, sistemas operacionais e aplicações
    • Desenvolvidos para se replicar e iludir detecção
    • Precisa ser executado para ser ativado
ataques ativos por c digo malicioso cont
Ataques ativos por código malicioso (cont)
  • Cavalos de Tróia (Trojans)
    • Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo)
    • Fica dormente até ser ativado
    • Muito comum em programas de gerência remota (BO e NetBus)
    • Não se auto replica e precisa ser executado
  • Bombas Lógicas
    • Caindo em desuso pela utilização de segurança no desenvolvimento
    • Aguarda uma condição ser atingída
    • Chernobyl, como exemplo famoso (26, Abril)
ataques ativos por c digo malicioso cont1
Ataques ativos por código malicioso (cont)
  • Worms
    • Auto replicante, mas sem alteração de arquivos
    • Praticamente imperceptíveis até que todo o recurso disponível seja consumido
    • Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede
    • Não necessita de ponto de execução
    • Se multiplica em proporção geométrica
    • Exemplos famosos:
      • LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...
ataques ativos por c digo malicioso cont2
Ataques ativos por código malicioso (cont)
  • Back Door
    • Trojan, root kits e programas legítmos
      • VNC, PCAnyware, DameWare
      • SubSeven, Th0rnkit
    • Provê acesso não autenticado a um sistema
  • Rootkit
    • Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors
    • Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção
    • Iniciam no boot junto com os processos do sistema
ataques pass vos
Ataques Passívos
  • Normalmente utilizado antes de um ataque ativo
  • Pesquisa de Vulnerabilidades
    • Pesquisa por Portas/Serviços
      • http://www.insecure.org – Nmap
  • Escuta (sniffing)
    • Extremamente difícil detecção
    • Não provoca ruído sensível
    • Senhas em texto claro, comunicações não encriptadas
    • Redes compartilhadas Vs comutadas
      • Switch Vs Hub
    • WireShark (Lin/Win), TCPDump (Lin)
      • http://www.wireshark.org
      • http://www.tcpdump.org
ataques pass vos cont
Ataques Passívos (cont)
  • Ataques de Senha
    • Muito comuns pela facilidade de execução e taxa de sucesso
      • Cain&Abel, LC5, John The Ripper, ...
    • Compara Hash’s, não texto
  • Força Bruta
    • Teste de todos os caracteres possíveis
    • Taxa de 5 a 6 Milhões de testes/seg, em um P4
  • Ataques de Dicionário
    • Reduz sensivelmente o tempo de quebra
    • Já testa modificado para estilo “hackish”
      • B4n4n4, C@73dr@l, P1p0c@, R007, ...
  • Rainbow Tables
    • Princípio Time Memory Trade-off (TMTO)