Aspectos relacionados a segurança da informação nas...

46
Aspectos relacionados a Aspectos relacionados a segurança da informação nas segurança da informação nas estações de controle no solo e estações de controle no solo e nos Veículos Aéreos Não nos Veículos Aéreos Não Tripulados (VANT) Tripulados (VANT) 3S BET Carlos Eduardo de 3S BET Carlos Eduardo de Barros Barros Santos Júnior Santos Júnior @edusantos33 @edusantos33 [email protected] [email protected] - - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 429 de 843 - - - -

Transcript of Aspectos relacionados a segurança da informação nas...

Page 1: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

Aspectos relacionados a Aspectos relacionados a segurança da informação nas segurança da informação nas estações de controle no solo e estações de controle no solo e

nos Veículos Aéreos Não nos Veículos Aéreos Não Tripulados (VANT)Tripulados (VANT)

3S BET Carlos Eduardo de 3S BET Carlos Eduardo de BarrosBarros Santos Júnior Santos Júnior

@edusantos33@edusantos33

[email protected]@gmail.com

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 429 de 843 - - - -

Page 2: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 2

Objetivos

Apresentar os conceitos e as técnicas da segurança da informação aliados ao processo de comando e controle entre as estações de controle no solo e os VANT, juntamente com suas redes de comunicação terrestre;

Criar uma consciência situacional em relação a Segurança da Informação;

Alertar sobre possíveis ameaças e vulnerabilidades nesse ambiente;

Despertar a comunidade aeronáutica sobre o desenvolvimento seguro.

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 430 de 843 - - - -

Page 3: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 3

Roteiro

INTRODUÇÃO

SEGURANÇA DA INFORMAÇÃO

FUNCIONAMENTO DO UAS

AMEAÇAS E VULNERABILIDADES NO SISTEMA

AÉREO NÃO TRIPULADO (UAS)

MEDIDAS DE PREVENÇÃO

CONCLUSÃO

REFERÊNCIAS

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 431 de 843 - - - -

Page 4: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 4

INTRODUÇÃO

A importância da Segurança da InformaçãoHistórico

Coisa de nerd – harcker sem intenção criminal

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 432 de 843 - - - -

Page 5: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 5

INTRODUÇÃO

A importância da Segurança da InformaçãoHistórico

Coisa de nerd – harcker

Principal função é proteger os ativos da instituição.

Ativo: “qualquer coisa que tenha valor para a organização” (ABNT NBR ISO/IEC 27001, 2006, p. 2).

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 433 de 843 - - - -

Page 6: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 6

INTRODUÇÃO

A importância da Segurança da InformaçãoHistórico

Coisa de nerd – harcker

Principal função é proteger os ativos da instituição.

Ativo: “qualquer coisa que tenha valor para a organização” (ABNT NBR ISO/IEC 27001, 2006, p. 2).

HackersWhite HatsBlack HatsGray Hats

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 434 de 843 - - - -

Page 7: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 7

SEGURANÇA DA INFORMAÇÃO

Pilares

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 435 de 843 - - - -

Page 8: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 8

SEGURANÇA DA INFORMAÇÃO

Fases de um hacking

(GRAVES, 2010, p. 8)

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 436 de 843 - - - -

Page 9: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 9

SEGURANÇA DA INFORMAÇÃO

Conceitos

Risco Probabilidade de que algo ruim aconteça

AmeaçaQualquer ação em potencial que possa danificar um ativo

VulnerabilidadeFalha que possa concretizar uma ameaça, ocorrendo um evento inesperado e indesejável

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 437 de 843 - - - -

Page 10: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 10

SEGURANÇA DA INFORMAÇÃO

Tipos de Ataque

Passivo

Obter informações e monitorar sem interferir no

sistema do alvo

Ativo

Maneira intrusiva de obter informações ou

acesso do alvo

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 438 de 843 - - - -

Page 11: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 11

SEGURANÇA DA INFORMAÇÃO

Negação de Serviço ou JammingCausar indisponibilidade no alvoDoSDDoSBloqueio

Tipos

(OLIVEIRA et al, 2012, p. 13)

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 439 de 843 - - - -

Page 12: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 12

SEGURANÇA DA INFORMAÇÃO

Falsificação (spoofing) e InterceptaçãoDuas entidades com mesma identificaçãoAtaque de Homem no Meio (MITM)

Fonte: http://wiki.cas.mcmaster.ca/index.php/File:Man_in_the_Middle.jpg

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 440 de 843 - - - -

Page 13: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 13

SEGURANÇA DA INFORMAÇÃO

Injeção de FalhasInjeção de SQL

Falha na construção de banco de dados (DB)Envio de comandos não autenticadosÉ possível ter acesso irrestrito ao DB

Buffer OverflowFalha na programação do softwareA variável não valida o valor de entrada causando um estouro de memóriaPode dar acesso ao sistema operacional que suporta o software

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 441 de 843 - - - -

Page 14: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 14

SEGURANÇA DA INFORMAÇÃO

Engenharia Social

A arte da manipulaçãoTécnica de fraude usada para enganar pessoas, baseada em:

HumanosTelefonemas

ComputadoresEmail com informações falsas solicitando dados

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 442 de 843 - - - -

Page 15: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 15

SEGURANÇA DA INFORMAÇÃO

Softwares Maliciosos ou malwaresVírus

Utiliza hospedeiro, quando ativado infecta o alvo

Worms ou VermesInfecta e se propaga automaticamente

KeyloggersCapta o que é digitado no teclado

RootKitUm arsenal de malwares – alvo o Sistema Operacional

APT – Ameaça Avançada PersistenteAlvos bem definidos e diferentes – Stuxnet

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 443 de 843 - - - -

Page 16: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 16

FUNCIONAMENTO DO UAS

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 444 de 843 - - - -

Page 17: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 17

FUNCIONAMENTO DO UAS

ECS do MQ-1 Predator. Estudante de pilotogem, Capt. Andy Beitz (esq), e a estudante de operação de sensores, Airman 1st Class Stephanie Barroso (dir), durante uma sessão de treinamento na Indian Springs Auxiliary Field, Nevada, em abril de 2005. DoD photo by Tech. Sgt. Kevin J. Gruenwald, U.S. Air Force.Fonte : http://www.defense.gov/photos/newsphoto.aspx?newsphotoid=6487- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 445 de 843 - - - -

Page 18: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 18

FUNCIONAMENTO DO UAS

Fonte: Catálogo da Xmobts do Nauru 500A

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 446 de 843 - - - -

Page 19: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 19

AMEAÇAS E VULNERABILIDADES NO UAS

Unmanned Aerial Systems (UAS) – sistema que engloba outros subsistemas do VANT

Aeronave não tripulada (VANT)

Estação de controle

Solo, Navios, Aeronaves

Payloads

Sensores, câmeras, armamento

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 447 de 843 - - - -

Page 20: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 20

AMEAÇAS E VULNERABILIDADES NO UAS

Vulnerabilidade na arquitetura de comunicação: VANT – Payload – Estação de Controle

Comunicação com payload sem criptografiaUtilização de protocolos comuns à rede de computadores: FTP, TCP, IP

(IVANCIC et al, 2011)

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 448 de 843 - - - -

Page 21: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 21

AMEAÇAS E VULNERABILIDADES NO UAS

Vulnerabilidade na arquitetura de comunicação: VANT – Payload – Estação de Controle

Ataque passivo de interceptaçãoEm 2009, capturado sinais de videos por militantes iraquianos

Uso de software SkyGrabberMenos de U$ 30 na época

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 449 de 843 - - - -

Page 22: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 22

AMEAÇAS E VULNERABILIDADES NO UAS

Negação de Serviço ou Jamming

Baseada na tese de doutorado do Major do Exécito EUA, JAYSEN A. YOCHIM (2010)

Interferir nos links de subida e descida de uma

comunicação

Indisponibilizar o meio

Técnica conhecida na Guerra Eletrônica

MAE – Medida de Ataque Eletrônico

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 450 de 843 - - - -

Page 23: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 23

AMEAÇAS E VULNERABILIDADES NO UAS

Falsificação (spoofing) e InterceptaçãoGPS Spoofing

Todd Humphreys – UTA (2012)

Sinais chegam com baixa potência

Atacante – Spoofer – potência maior

Mini VANT Hornet – Alvo

Total Controle – Hijacking (sequestro)

OTAN STANAG 4586MITM

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 451 de 843 - - - -

Page 24: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 24

AMEAÇAS E VULNERABILIDADES NO UAS

Injeção de Falhas

Tese da Dr. Magali Andreia Rossi (2013) – USP

Projeto desenvolvido no PIpE-SEC (Plataforma

Integrada para Ensaios de Sistemas Embarcados

Críticos)

CPDLC

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 452 de 843 - - - -

Page 25: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 25

AMEAÇAS E VULNERABILIDADES NO UAS

Injeção de Falhas

IPv6

Falhas injetadas na comunicação por meio do

Módulo de Falhas ATN

Três tipos de injeção: mensagem, tempo e ambas

Comprovada vulnerabilidade no sistema para uso

com VANT

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 453 de 843 - - - -

Page 26: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 26

AMEAÇAS E VULNERABILIDADES NO UAS

Injeção de FalhasCenário Referente ao Ambiente de Comunicação Simulado

(ROSSI, 2013, p. 72)

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 454 de 843 - - - -

Page 27: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 27

AMEAÇAS E VULNERABILIDADES NO UAS

Cyber Ataques baseados em malwaresOurubro de 2011 – Base Aérea de Creech, Nevada, USA

A revista Wired publicou que um keylogger havia infectado uma Estação de Controle

Acredita-se que através de um HD externo

A AFSPC (Comando Espacial da Força Aérea) explicou em nota que era um credetial stealer

Não tinha intencão de roubar dados e videos ou corromper informaçõesAmeaça mais barulhenta que perigosaDesenvolvida pra Windows

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 455 de 843 - - - -

Page 28: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 28

AMEAÇAS E VULNERABILIDADES NO UAS

Cyber Ataques baseados em malwares

Eugene Kaspersky (2011) fala que essa pode ser uma tendência para hackers black hatsAlvos prováveis:

Avião tripuladoRede elétricaHospitaisCarros

Ataques zero-day

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 456 de 843 - - - -

Page 29: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 29

AMEAÇAS E VULNERABILIDADES NO UAS

Cyber Ataques baseados em malwares

Eugene Kaspersky (2011) fala que essa pode ser uma tendência para hackers black hatsAlvos prováveis:

Avião tripulado?!?!Rede elétricaHospitaisCarros

Ataques zero-day

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 457 de 843 - - - -

Page 30: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 30

AMEAÇAS E VULNERABILIDADES NO UAS

Cyber Ataques baseados em malwaresEugene Kaspersky (2011) fala que essa pode ser uma tendência para hackers black hatsAlvos prováveis:

Avião tripuladoRede elétricaHospitaisHotéisReservatórioCarros

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 458 de 843 - - - -

Page 31: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 31

AMEAÇAS E VULNERABILIDADES NO UAS

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 459 de 843 - - - -

Page 32: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 32

AMEAÇAS E VULNERABILIDADES NO UAS

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 460 de 843 - - - -

Page 33: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 33

SUGESTÃO – POSSÍVEL SOLUÇÃO

Vulnerabilidade na arquitetura de comunicação: VANT – Payload – Estação de Controle

Criar um sistema de gestão de segurança da informação – ABNT ISO 27000

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 461 de 843 - - - -

Page 34: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 34

SUGESTÃO – POSSÍVEL SOLUÇÃO

Vulnerabilidade na arquitetura de comunicação: VANT – Payload – Estação de Controle

Criar um sistema de gestão de segurança da informação – ABNT ISO 27000

CriptografiaIPSec x SSLSimétrica x Assimétrica

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 462 de 843 - - - -

Page 35: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 35

MEDIDAS DE PREVENÇÃO

FirewallsControla o tráfego entre duas redes distintasTipos

Filtragem de pacotesInspeção com estadoSubstituto de aplicativo

Pode ser aplicado em diversas posições nas redes

(ROCHA, Carlos; 2013)

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 463 de 843 - - - -

Page 36: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 36

MEDIDAS DE PREVENÇÃO

Monitoramento de RedeIDS – Sistema de Detecção de Intrusão

NIDS – Network HIDS – Host

IPS – Sistema de Proteção de Intrusão

O IDS pode ser comparado a uma câmera de vigilância

E o IPS a um cão treinado, que muda de reação conforme o ataque

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 464 de 843 - - - -

Page 37: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 37

MEDIDAS DE PREVENÇÃO

TestesObjetivo

Averiguar se as medidas de segurança estão empregadas estão em conformidade

É feito através de profissionais capacitados

Segurança Ofensiva

Pentest – Teste de Intrusão

Antes do teste deve-se definir bem o escopo e elaborar um contrato de concordância entre as partes

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 465 de 843 - - - -

Page 38: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 38

MEDIDAS DE PREVENÇÃO

Assinatura DigitalUsado para assegurar a Integridade e a AutenticidadeUtiliza o hash – algoritmo de criptografia de mão única

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 466 de 843 - - - -

Page 39: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 39

MEDIDAS DE PREVENÇÃO

Assinatura DigitalUsado para assegurar a Integridade e a AutenticidadeUtiliza o hash – algoritmo de criptografia de mão única

Controle de Acesso – NAC AAA – Autenticaçâo, Autorização e Contabilização

IEEE 802.1x – Radius

Verificação de exigências para acessar a rede: sistema operacinal e antivírus atualizados e firewall ativado

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 467 de 843 - - - -

Page 40: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 40

MEDIDAS DE PREVENÇÃO

Engenharia Social – Políticas de Segurança da Informação

Desenvolvimento de uma política de segurança institucional, baseada na organização

Treinar e orientar todos os que fazem parte da organização sobre a política criada e sua importância

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 468 de 843 - - - -

Page 41: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 41

MEDIDAS DE PREVENÇÃO

Engenharia Social – Políticas de Segurança da Informação

Exigência das identificações pessoais a todas as pessoas que desejam algum tipo de acesso físico

Usar técnicas fortes de autenticação

Triturar documentos com informações pessoais

Ter cuidado com os acessos de dados na Internet.

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 469 de 843 - - - -

Page 42: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 42

REFERÊNCIAS

ABNT, NBR/ISO/IEC 27001:2006 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. RC: ABNT-Associação Brasileira de Normas Técnicas, 2006.

McMaster University. Man In The Middle. Disponível em <http://wiki.cas.mcmaster.ca/index.php/File:Man_in_the_Middle.jpg>. Acesso em 05 ago. 2014.

ROCHA, Carlos G. Firewall. Apresentação para turma de Redes de Computadores do IFRN. 2012

AFSPC. Flying operations of remotely piloted aircraft unaffected by malware. Colorado, 12 out. 2011. Disponível em: <http://www.afspc.af.mil/news1/story.asp?id=123275647,>. Acesso em: 01 jun. 2014.

GRAVES, Kimberly. CEH - Certified Ethical Hacker: Study Guide. Indianapolis: Ed. Wiley Publishing, 2010.

ROSSI, Magali Andreia. Avaliação do uso da rede de telecomunicações aeronáuticas (ATN) para comunicação digital na operação de veículos aéreos não tripulados (VANT). São Paulo, 2013. 118 p. Tese (Doutorado) - Escola Politécnica da Universidade de São Paulo. Departamento de Engenharia de Computação e Sistemas Digitais

KIM, David; SOLOMON, Michael. Fundamentos de segurança de sistemas de informação. Tradução de Daniel Vieira. Revisão Técnica Jorge Duate Pires Valério. Rio de Janeiro: LTC, 2014.

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 470 de 843 - - - -

Page 43: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 43

Objetivos

Apresentar os conceitos e as técnicas da segurança da informação aliados ao processo de comando e controle entre as estações de controle no solo e os VANT, juntamente com suas redes de comunicação terrestre;

Criar uma consciência situacional em relação a Segurança da Informação;

Alertar sobre possíveis ameaças e vulnerabilidades nesse ambiente;

Despertar a comunidade aeronáutica sobre o desenvolvimento seguro.

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 471 de 843 - - - -

Page 44: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

07-08-14 44

Roteiro

INTRODUÇÃO

SEGURANÇA DA INFORMAÇÃO

AMEAÇAS E VULNERABILIDADES REAIS AO

SISTEMA AÉREO NÃO TRIPULADO (UAS)

MEDIDAS DE PREVENÇÃO

CONCLUSÃO

REFERÊNCIAS

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 472 de 843 - - - -

Page 45: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

Aspectos relacionados a segurança da Aspectos relacionados a segurança da informação nas estações de controle no informação nas estações de controle no

solo e nos Veículos Aéreos Não solo e nos Veículos Aéreos Não Tripulados (VANT)Tripulados (VANT)

3S BET Carlos Eduardo de 3S BET Carlos Eduardo de BarrosBarros Santos Júnior Santos Júnior

@edusantos33@edusantos33

[email protected]@gmail.com

DÚVIDAS ???

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 473 de 843 - - - -

Page 46: Aspectos relacionados a segurança da informação nas ...ssv.ipev.cta.br/ssv-apresentacoes/2014/Apresentações/SSV 2014... · organização” (ABNT NBR ISO/IEC 27001, 2006, p.

““Não abandone a sabedoria, e ela o Não abandone a sabedoria, e ela o protegerá; ame-a, e ela cuidará de você”protegerá; ame-a, e ela cuidará de você”

“Apegue-se a instrução, não a abandone; “Apegue-se a instrução, não a abandone; guarde-a bem, pois dela depende a sua guarde-a bem, pois dela depende a sua vida.”vida.” Provérbios Cap. 4, Vers. 6 e 13Provérbios Cap. 4, Vers. 6 e 13

3S BET Carlos Eduardo de 3S BET Carlos Eduardo de BarrosBarros Santos Júnior Santos Júnior

@edusantos33@edusantos33

[email protected]@gmail.com

- - - - Anais do 7º Simpósio de Segurança de Voo (SSV 2014) - Direitos Reservados - Página 474 de 843 - - - -