bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q
-
Upload
marcos-vinicius-silva -
Category
Documents
-
view
117 -
download
0
Transcript of bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 1/66
BC-1523 - Segurança de DadosBC-1523 - Segurança de Dados
Aula 01Aula 01Apresentação da disciplinaApresentação da disciplina
Introdução a Segurança de dadosIntrodução a Segurança de dados
Elaborada: Carlos Alberto Kamienski
Adaptações: Marcelo Zanchetta do Nascimento
c o n f i d e
n c i a l i d
a d e
i n t e g
r i d a d e
disponibilidade
dadose
serviços
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 2/66
2
RoteiroRoteiro
Apresentação:
Motivação
Objetivos
Apresentação
Programa
Avaliação
CronogramaRegras de comportamento
Introdução a Segurança de dados:
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 3/66
3
Apresentação da disciplinaApresentação da disciplina
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 4/664
MotivaçãoMotivação
Ataques na Internet tem sido cada vez mais frequentes e sofisticados=> quantidade de estratégia e conhecimento requerido tem decaido.
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 5/665
MotivaçãoMotivação
Po r q ue e s t á o
co r re ndo u m
a u me n to no
n ú me ro de a
t a q ue s ? ? ?
Aumento na complexidade:
– Protocolos;
– Aplicações
–
Internet
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 6/666
MotivaçãoMotivação
Estimativa de prejuizo causado por vários tipos de ataques devido abaixa segurança dos sistemas computacionais.
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 7/667
Objetivo GeralObjetivo Geral
Visão geral sobre segurança, para que oaluno saiba como prevenir, defender eresolver incidentes de segurança
Do ponto de vista de um profissional de segurança
Alerta: não é um curso para hackers!
A maneira como as informações serão utilizadas é deresponsabilidade de cada aluno
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 8/668
Objetivos EspecíficosObjetivos Específicos
Compreender os principais riscos evulnerabilidades de segurança;Conhecer as normas, procedimentos e
políticas para gerenciamento de segurança dainformação;
Conhecer os principais aplicativos relacionadoscom segurança;
Conhecer os principais problemas e soluções nodesenvolvimento de aplicações seguras;
Utilizar ferramentas de segurança de dados.
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 9/669
Objetivos EspecíficosObjetivos Específicos
Explorar conceitos básicos, princípios emecanismos de segurança de dados.
Conceitos básicos de segurança
CriptografiaAutenticação
Controle de acesso
IPsecFirewall
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 10/6610
EmentaEmenta
Introdução e MotivaçãoPolíticas e normas de segurança da informação
Sistemas de Gestão de Segurança da Informação
Ferramentas, Vulnerabilidades e Ataques
Códigos maliciosos (malware), programas de varredura (scanners),Quebradores (crackers) de senhas; “Farejadores" (sniffers)
Firewalls, proxies e NATs (middleboxes)
Ferramentas de log e auditoriaDetecção de vulnerabilidades
Segurança no Desenvolvimento de Aplicações
Demonstração e práticas com ferramentas de segurança.
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 11/6611
MetodologiaMetodologia
Aulas expositivas e demonstrativas (professor)Apresentações com PowerPoint e quadro
Demonstrações de softwares
Apresentação de sites
Aulas práticas / Relatórios Técnicos (professor e alunos)Ferramentas e técnicas usadas por hackers
Ferramentas e técnicas de proteção
Seminário (alunos)
Tema relacionado a segurança
Pesquisa constante
Pesquisa de livros, sites, técnicas, ferramentas, incidentes, etc.
Preparação de resumos
Discussão em aula
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 12/6612
Cada disciplina na UFABC é representada por três algarismos: T – P – I. Para a disciplina BC-1523, temos:
T: 3h - Número de horas semanais de aulas expositivas
presenciais da disciplina (Teóricas);
P: 1h – Número de horas semanais de trabalho de laboratório,aulas práticas ou de aulas de exercícios, realizadas em sala de
aula (Práticas);
I: 4h - Estimativa de horas semanais adicionais de trabalhonecessárias para o bom aproveitamento da disciplina (estudos etrabalhos Individuais).
CréditosCréditos
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 13/6613
A: desempenho excepcional, demonstrando excelentecompreensão da disciplina
B: bom desempenho, demonstrando capacidade boa de uso
dos conceitos da disciplina
C: desempenho adequado, demonstrando capacidade de uso
dos conceitos da disciplina e capacidade para seguir em
estudos mais avançados
D: aproveitamento mínimo dos conceitos da disciplina, comfamiliaridade parcial do assunto, mas demonstrando
deficiências que exigem trabalho adicional para prosseguir em
estudos avançados
ConceitosConceitos
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 14/6614
F: reprovado. A disciplina deve ser cursada novamente paraa obtenção de crédito
O: reprovado por falta. A disciplina deve ser cursadanovamente para a obtenção de crédito
I: incompleto. Indica que uma pequena parte dosrequerimentos do curso precisa ser completada
T: disciplinas equivalentes cursadas em outras escolas eadmitidas pela UFABC
ConceitosConceitos
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 15/66
15
oOs alunos serão considerados “adultos”:
oEntrar e sair da sala freqüentemente não é permitido
oChegar no final da aula é desencorajado
oManifestações excessivamente efusivas (barulhentas)sobre assuntos não pertinentes à aula são dispensadas
oDurante as explicações recomenda-se o silêncio
oEspera-se iniciativa e responsabilidade na execuçãoiniciativa e responsabilidade na execução dastarefas
oEspero dedicação a disciplina
Regras de comportamentoRegras de comportamento
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 16/66
16
Uso do Laboratório:
Não é permitido comer ou beber no laboratório
Os equipamentos devem ser preservados
Celular: por favor, desligue ou ative o modo silenciosodurante as aulas
Regras de comportamentoRegras de comportamento
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 17/66
17
Aulas: BLOCO BQuinta-feira: 21-23 h – L604 (Bloco B)
Divisão
Teórica: 3 horas
Prática: 1 horas
Laboratório: Sala 409-2 (Bloco A – Torre CMCC)
•
Terça-feira: 19-21 h
ATENÇÃO: Existem horários disponíveis para eventuaisreposições?
HoráriosHorários
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 18/66
18
AvaliaçõesAvaliações
1. Provas
2. Seminário
3. Aula prática – Relatório Técnico
4. Mini-atividades
Resumos e discussões em aula
Mini-testes
Práticas
Avaliação subjetiva (Presença em aula e Participaçãoem aula)
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 19/66
19
Calendário de avaliações:Calendário de avaliações:
♦ Provas: 22/03 (P1) e 26/04 (P2)
AvaliaçõesAvaliações
2 Prova dissertativa (Peso = 70%) Prova substitutiva Engloba todos os itens do programa da disciplina
Só para quem perdeu uma prova
Relatório de Atividades em Laboratório
Seminários: Os tópicos serão tratados nos próximos slides(Peso = 30%)
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 20/66
20
Critérios de avaliação
Relatórios e atividades•Será permitido uma definição da equipe de trabalho (máximo02 alunos).
•
Colaboração: Você pode discutir as atividades com outroscolegas. Porém, os códigos ou documentos devem ser deautoria própria. Cópia de código ou documento de outrosestudantes não serão tolerados.
•
Os relatórios que apresentarem sinais de cópia de trabalhosde outros alunos, independente de tratarem-se do originalou da cópia (Conceito F).
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 21/66
21
Critérios de avaliação
Relatórios e atividades:•Modelo: disponível na Aba da disciplina – aula 00 modelosde documentos.
•Atraso na submissão: Uma atividade ou relatório
submetido:
• em até 24 horas após a data de entrega serádecrementado um conceito,
• após 48 horas da data de entrega não será maisaceito e será atribuído o conceito F.
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 22/66
22
Seminário:•Quando tratar-se de seminários o trabalho deverá serentregue seguindo o modelo (obedecendo às normas dametodologia científica).
•A apresentação (slide) deverá ser entregue na forma digital juntamente com trabalho escrito (artigo).
•Só serão aceitos os trabalhos na data prevista.
•Será permitido a definição da equipe de trabalho (máximo03 alunos).
•Os modelos estão disponíveis no tidia-ae
Critérios de avaliação
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 23/66
23
Seminário:•Os seminários deverão ser divididos entre os alunos de cadagrupo;
• Os temas de seminário serão fornecidos pelo professor;
•Todos os membros devem apresentar uma parte do trabalho:
• O conceito final para cada estudante do grupo de seminário emgrupo poderá ser diferente;
• Duração miníma: 50 minutos;
• Lembre-se o conceito final dessa etapa é composto do documento eapresentação.
• Lembre-se esse material será utilizados por todos para a segundaavaliação.
Critérios de avaliação
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 24/66
24
SeminárioSeminárioTópicos: Algoritmos de criptografia:
– 1 - Criptografia de chave pública (G1) – 2 - Função hash (G2) – Data 29/03
Segurança em Banco de Dados (G3): – Requisitos de segurança, – controle de acesso e autenticação – Criptografia em Banco de dados – Data: 05/04
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 25/66
25
SeminárioSeminário
Tópicos: Segurança em Sistemas Operacionais (G4): – Métodos de proteção, – Proteção de memória e endereçamento – Controle de acesso – Mecanismo de proteção de arquivos – Autenticação e Sistema confiável – Data: 05/04
Linux e Windows (G5) – Modelo de segurança ou arquitetura – Vulnerabilidade, – Segurança em arquivos – Controle de acesso, – Serviço de criptografia – Data: 12/04
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 26/66
26
SeminárioSeminárioTópicos: Segurança em redes (G6):
– Email – PGP – S/MINE –
Arquitetura SSL – Segurança na camada de transporte – IPsec – IKE (Internet Key Exchange) – Data: 12/04
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 27/66
27
Cronograma (preliminar)Cronograma (preliminar)Semana Terça-feita Quinta -feira
1 07/02 - Apresentação e introdução
a segurança de dados
09/02 – Introdução a segurança de
dados / criptografia
2 14/02 – Vulnerabilidade de
programas - Prática1:
Vulnerabilidade Set-UID
16/02 - Criptografia
3 21/02 - Feriado 23/02 - Criptografia
4 28/02 – Criptografia – Prática2:
Algoritmos de criptografia
01/03 – Autenticação de usuário
5 06/03 – Redes- Prática3: Sniffer 08/03 – Autenticação de usuário
6 13/03 – Programação segura 15/03 – Programação segura
7 20/03 - Programação segura
Pratica4: Buffer overflow
22/03 – Prova 1
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 28/66
28
Cronograma (preliminar)Cronograma (preliminar)Seman
a
8 27/03 – Redes de computadores e
Firewall - Redes/vpn
29/03 – Seminários- G1 e G2
9 03/04 – Gerenciamento baseado em
politicas
05/04 – Seminários – G3 e G4
10 10/04 - Redes: varredura de portas
Pratica5: nmap
12/04- Seminários – G5 e G6
11 17/04 – Linux -firewall
Laboratorio6: Iptable
19/04 – Certificação de segurança e
normas ISO (27001 e 27002)
12 24/04 – Softwares maliciosos 26/04 – Prova 2
13 03/05 - Prova - Sub
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 29/66
29
Referências básicas:Referências básicas:
Stallings, W., Brown, L. ComputerSecurity: Principles and Practice, ed.Prentice Hall, ISBN-13:9780136004240
Stallings, W. Criptografia e segurançade redes – Princípios e Práticas, 4
edição, ed Prentice Hall - ISBN8576051192
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 30/66
30
Referência complementar:Referência complementar:
Charlie Kaufman, Radia Perlman, and MikeSpeciner, Network Security: PrivateCommunication in a Public World, 2nd Edition,Prentice Hall, ISBN: 0-13-046019-2.
Charles P. Pfleeger and Shari L. Pfleeger.Security in Computing (3 nd edition). Prentice-
Hall. 2003. ISBN: 0-13-035548-8.
Referências: Páginas naReferências: Páginas na
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 31/66
31
Referências: Páginas naReferências: Páginas naInternetInternet
http://www.cert.org/CERT® Coordination Center (CERT/CC) , localizado na SEI (SoftwareEngineering Institute) da Universidade Carnegie Mellon
http://www.securityfocus.com/Importante centro de segurança da informação da Internet
“o mais abrangente e confiável” (segundo ele mesmo)http://slashdot.org/
Site pra hackers e nerdshttp://csrc.nist.gov/
NIST Computer Security Division
http://www.first.org/Forum of Incident Response na Security Teamshttp://isc.sans.org/
Internet Storm Centerhttp://www.intrusions.org/
Incident Detections, Honeypots and Incident Handling Resources
Referências: Páginas noReferências: Páginas no
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 32/66
32
Referências: Páginas noReferências: Páginas noBrasilBrasil
http://www.modulo.com.br/Empresa brasileira com muita experiência em produtos eserviços
http://www.cais.rnp.br/
Centro de Atendimento de Incidentes de Segurança da RNPhttp://www.cert.br/
CERT.br – Centro de Estudos, Resposta e Tratamento deIncidentes de Segurança no Brasil
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 33/66
33
Referências: FerramentasReferências: Ferramentas
http://www.wireshark.com/Wireshark: A Network Protocol Analyzer
http://nmap.orgNmap Security Scanner
http://www.nessus.orgNessus: The Network Vulnerability Scanner
http://www.snort.orgSnort: Network Intrusion Prevention and Detection System(IDS/IPS)
http://www.netfilter.org/projects/iptables
iptables: configuration of packet filter rules (firewall)http://www.openwall.com/john/John the Ripper password cracker
http://www.gnupg.org/GNU Privacy Guard; encrypt and sign data and communication
ó
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 34/66
34
Ferramenta: LaboratórioFerramenta: Laboratório
Laboratório do projeto SEED
Este laboratório foi desenvolvido noprojeto SEED da Universidade deSyracuse com o apoio da National ScienceFoundation (NSF).
O objetivo do projeto SEED é desenvolverum ambiente de laboratório e exercíciospara o ensino de segurança dos dados emsistemas computacionais.
Os experimentos de laboratório foramfornecidos pelo Dr. Wenliang Du daUniversidade de Syracuse.
ó
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 35/66
35
Ferramenta: LaboratórioFerramenta: Laboratório
Cadastro no sistema tidia-ae: http://ae.ufabc.edu.br
Vmware:
Verificar e instalar o vmware player para execução damáquina virtual SEED
Máquina virtual disponível com o professor ou direto pelosite do Vmware:
–
http://www.vmware.com/products/player/. – No Linux:
– sudo sh VMware-Player-4.0.0-471780.x86_64.bundle
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 36/66
36
Introdução a Segurança deIntrodução a Segurança deDadosDados
fO i ifi ?
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 37/66
37
O que significa segurança ?O que significa segurança ?
Como podemos proteger os nossos bens valiosos? Bancos?
Antigamente: os bancos mantinham grandes quantidades dedinheiro em mão, bem como ouro e prata, que não pudiam ser
rastreados. Comunicações e transportes eram primitivas
Hoje:proteção de ativos é mais fácil, com muitos fatorestrabalhando contra o criminoso.
–
Exemplo: sistemas de alarme e câmera - as técnicas de investigaçãocriminal tornaram-se tão eficaz que uma pessoa pode ser identificado pormaterial genético (DNA), as impressões digitais, os padrões da retina, voz,etc.
A ti vos: Dados - Informação
D fi i ãD fi i ã
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 38/66
38
Definição:Definição:
O National Institute of Standards and Technology (NIST)
Computer Security Handbook define o termo Segurança de
dados:
Proteção a um sistema de informação automatizado, a fim de
atingir os objetivos aplicáveis de preservar a integridade,
disponibilidade e confidencialidade das fontes de informação do
sistema (inclui hardware, software, firmware,
informações/dados e de telecomunicações).
A l i P V lA l i P t V l
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 39/66
39
Analogia: Proteger ValoresAnalogia: Proteger Valores•
Em computação, busca-se proteger dados, ou seja, criarmecanismos de segurança para um sistema computacionalgarantido.
• Analogia:
– Bancos – pode-se aprender muito com a forma como se protege osobjetos de valor.
• Exemplo: Tamanho e portabilidade:
– Banco: Locais que armazenam dinheiro são grandes e nem todos são
portáteis com muitos níveis de segurança física para proteger o dinheiro.
– Sistema: Os dispositivos físicos em computação podem ser tão pequenasque permite milhares de dólares (sistemas) serem confortavelmentetransportados em uma maleta.
A l i P t V lA l i P t V l
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 40/66
40
Analogia: Proteger ValoresAnalogia: Proteger Valores• Analogia:
– Bancos – pode-se aprender muito com a forma como se protege osobjetos de valor.
• Exemplo: Ativos:
– Banco: alto
– Sistema: Variável (muito alta até muito baixa).
• Algumas informações, como histórico médico, pagamentos deimpostos, investimentos, ou formação educacional, é confidencial.
• Outras informações, sobre as estratégias de vendas, padrões decompra, pode ser desprezíveis .
• Ainda outras informações, como endereço e número de telefone, podeser de nenhuma consequência e facilmente acessível por outros meios.
Ti d i f ãTi d i f ã
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 41/66
41
Tipo de informaçãoTipo de informação
Pública – informação que pode vir a público sem maioresconsequências danosas ao funcionamento normal da empresa;
Interna – o acesso a esse tipo de informação deve ser evitado,embora as consequências do uso não autorizado não sejam por
demais sérias;Confidencial – informação restrita aos limites da empresa, cujadivulgação ou perda pode levar a desequilíbrio operacional, eeventualmente, perdas financeiras;
Secreta – informação crítica para as atividades da empresa,cuja integridade deve ser preservada a qualquer custo e cujoacesso deve ser restrito a um número bastante reduzido depessoas.
O f tO f t
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 42/66
42
Os fatoresOs fatores
Falta de consciência das ameaças e riscos do sistema deinformação:
As medidas de segurança muitas vezes não são considerados atéque um Empresa é invadida por usuários mal-intencionados;
Políticas de rede
Muitos sites permitem acessos sem controle
A grande maioria do tráfego da rede não é criptografado
O tráfego de rede pode ser monitorado e captura
Ameaças, vulnerabilidade eAmeaças, vulnerabilidade e
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 43/66
43
Ameaças, vulnerabilidade eç ,controlescontroles
Vulnerabilidade Fraqueza no sistema de segurança que pode ser explorado para
causar perda ou dano Exemplo: nenhuma autenticação para acesso aos dados
Ameaça Um conjunto de circunstâncias que tem o potencial para causar
perda ou dano Riscos: a possibilidade de ameaça de causar danos
Controle Uma medida de proteção Uma ação, procedimento, técnica que remove ou reduz uma
vulnerabilidade
Ameaças, vulnerabilidade eAmeaças, vulnerabilidade e
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 44/66
44
m ç ,ç ,controlescontroles
Uma parede está segurando a água. O que pode acontecer com o homem?
Uma ameaça é bloqueada pelo controle de
vulnerabilidade
Ameaças a segurançaAmeaças a segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 45/66
45
Ameaças a segurançaAmeaças a segurança
Acesso nãoautorizado:
Cópias ilegais deProgramas ou escutas
Perda de umarquivo:
Destruição dehardware
Modificação
Não autorizada:Mudança do
Banco de dados
Criação não
autorizada:adiciona umRegistro no BD
Interceptação Interrupção
Modificação Fabricação
As ameaças pode ser vistas de 4 formas
Oportunidades
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 46/66
46
OportunidadesUm atacante deve ter três coisas:
– Método: as competências, conhecimentos, ferramentas eoutras coisas com o qual é capaz de obter sucesso noataque
– Oportunidade: o tempo e acesso para realizar o ataque
– Motivo: uma razão para querer executar este ataquecontra o sistema
(Pense na sigla "MOM".)
Negar qualquer uma dessas três coisas pode permitir que o
ataque não ocorrerá. No entanto, não é fácil controlá-los
Exemplo: Mercado de sistemas (como a Microsoft ou a Appleou sistemas operacionais Unix) disponibilizam informaçõesdos aplicativos.
Sistema Seguro
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 47/66
47
Sistema SeguroConfiabilidade (Secrecy)
–
A informação somente pode ser acessada por pessoasexplicitamente autorizadas; é a proteção de sistemas deinformação para impedir que pessoas não autorizadastenham acesso ao mesmo.
Integridade
– A informação deve ser restaurada em sua forma originalno momento em que foi armazenada.
Disponibilidade – A informação ou sistema de computador deve estar
disponível no momento em que a mesma for necessária;
Desafio: para um sistema seguro é necessário encontrar umDesafio: para um sistema seguro é necessário encontrar umcerto equilibrio entre esses objetivos, o qual frequentemente écerto equilibrio entre esses objetivos, o qual frequentemente é
conflitanteconflitante
Relação entre os objetivos
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 48/66
48
jde segurança
(Confiabilidade)
IntegridadeDisponibilidade
Os 3 objetivospode ser independente,
pode se sobrepor e podeser multuamente
exclusivo
Seguro
Exemplo: Aplicaçãoi l
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 49/66
49
p pcomercial
Confiabilidade - O empregado não deve saber osalário do empresário;
Integridade - Um funcionário não deve ser capazde modificar o próprio salário;
Disponibilidade - Os pagamentos deverão seremitidos a qualquer momento conformeestipulado por lei
Exemplo: Aplicação militar
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 50/66
50
Exemplo: Aplicação militar
Confiabilidade - As coordenadas do alvo de ummíssil não deve ser indevidamente divulgados
Integridade - As coordenadas de um míssil não
deve ser modificado indevidamente
Disponibilidade - Quando o comando apropriado éenviado o míssil deve ser disparado
Vulnerabilidades de sistemas
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 51/66
51
computacionais
A t i v o
s
Vulnerabilidades de sistemas
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 52/66
52
computacionais
Vulnerabilidades de sistemasi i
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 53/66
53
computacionais
Software:
Confiabilidade – uma cópia não autorizada dosoftware é realizada
Integridade – um programa é modificado paracausar falha durante execução
Disponibilidade – programas são apagados, assimcomo acesso negado.
Dados ? ?
Vulnerabilidades de sistemast i i
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 54/66
54
computacionaisHardware – Que tipo de ataques podemos ter?Os computadores portáteis são mais vulneráveis, porque eles sãoprojetados para serem fáceis de transporta
Software -Pode ser substituído, alterado, destruído, modificado, excluídoou extraviado acidentalmente. Se intencional ou não, essesataques exploram vulnerabilidades do software.
Exemplo: Um empregado de um banco percebeu que softwaretrunca o interesse fracionada em cada conta, ou seja, se os jurosmensais em uma conta é calculada em 14,5467 reais, o softwarecreditava apenas R$ 14,54 e ignorava os 0,0067. (modificou oaplicativo permitindo receber o (0,0067) em sua própria conta.
Crimes computacionais
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 55/66
55
Amadores –
Pessoas normais que descobrem ter acesso a “algo” valioso – Costuma ser principal fonte para crimes computacionais
Crackers
– Pessoas que “Quebram” a segurança de um sistema com
objetivos ilegaisProfissionais criminosos
– Profissionais em computação ou grupo envolvidos em crimescomputacionais
– Spam, phishing emails (falso) /websites, blackmail, crimes decartão de crédito, …
– Atualmente, um dos principais fonte de crimes decomputação
Crackers =! Hackers
Objetivos de segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 56/66
56
jPolíticas de segurança — Quais?
Mecanismo de segurança (controle) — Como?Garantia de Segurança — Como assim?
Objetivos de segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 57/66
57
Políticas de segurança — Quais?
Taxinomia de ataques incidentes em rede e computadores
Políticas de segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 58/66
58
g ç
Política da organização Política de automação deSistema de informação
Envolvem todos os controles da organização,manuais e automatizados, que afetam as
atividades dos SI!
Mecanismo de segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 59/66
59
g çPrevenção — controle de acesso
Detecção— auditoria e detecção de intrusosTolerância — prática
Mecanismo de segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 60/66
60
Mecanismo de segurança implementa funções que ajuda a
prevenção , detecção e resposta para possíveis ataquesPrevenção é fundamental
– Detecção busca previnir ameaças de ação punitiva
– Detecção busca auditar e proteger de alterações
As vezes a detecção é apenas uma opção,
– Uso de autorização de previlegios
– Modificação de mensagem em uma rede
Funções de segurança são normalmente disponibilizados paraos usuários como um conjunto de serviços de segurançaatravés de APIs ou interfaces integradas
Criptografia é fundamental para (quase) todos os mecanismos
de segurança
g ç
Mecanismo de segurança(Controles)
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 61/66
61
(Controles)Criptografia
Software de controle
– Exemplo: Controles de sistemas operacionais
Hardware de controle
– Exemplo: firewalls
Políticas e procedimentos
– Exemplo: requer frequentes mudanças de senha deacesso
Controle físico
– Exemplo: guardas e portas trancadas
Eficiência dos controles
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 62/66
62
Consciência do problema –
Profissionais que usam mecanismos de controle devemestar convicto de sua necessidade para segurança
Probabilidade de uso – Controles devem ser eficients, fáceis de usar e
apropriado para o problema
Sobreposição de controles – Poucos controles são permanentemente eficients – Avaliar a eficiência do controel é uma tarefa contínua
• Revisões periodicas – Combinação de controles para solucionar uma simples
vulnerabilidade• Camadas de defesa
Garantia da segurança
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 63/66
63
Com que eficiência o seu mecanismo de segurança
garante a política determinada?
Todos busca ter alta garantia
Mas alta garantia implica e elevação de custo
– Talvez isso não seja possível
Escolhas são necessárias
Leituras Sugeridas
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 64/66
64
Stallings, W., Brown, L. Computer
Security: Principles and Practice, ed.Prentice Hall, ISBN-13:9780136004240.
Charles P. Pfleeger and Shari L.Pfleeger. Security in Computing (3 ndedition). Prentice-Hall. 2003. ISBN:0-13-035548-8.
BC 1523BC 1523
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 65/66
BC-1523BC-1523
Segurança de DadosSegurança de Dados
c o n f i d
e n c i a l i d
a d e
i n t e g
r i d a d e
disponibilidade
dadose
serviços
ISO 27001ISO 27001 ISO 27002ISO 27002
Questões
5/13/2018 bc1523_aula+01+-apresentacao+e+introdução+a+segurança+de+dados_2012-1q - slidepdf.com
http://slidepdf.com/reader/full/bc1523aula01-apresentacaoeintroducaoasegurancadedados2012-1q 66/66
66
1- Diferencie: vulnerabilidade, ameaça e controle.
2-Em relação aos ativos de um sistema computacional podemoscategorizar hardware, software, dados, linha de comunicação e redesde computadores. Descreva os elementos em relação aos conceitos deintegridade, confiabilidade e disponibilidade.
3-Roubo normalmente resulta em algum tipo de dano. Por exemplo, sealguém rouba o seu carro, você pode sofrer perdas financeiras,inconveniente (por perder o seu modo de transporte), e distúrbiosemocionais (por causa da invasão de sua propriedade pessoal eespaço). Liste três tipos de danos que uma empresa pode ter de roubode equipamento informática.
4-Dê um exemplo de uma situação em que um compromisso deconfiabilidade conduz a um compromisso de integridade.
5–Relacione e defina resumidamente as categorias de serviço de
segurança