Introdução a Segurança da InformaçãoCarlos Sampaio

Conteúdo Programático

Parte 1: A Informação Parte 2: Conceitos Parte 3: Por onde começar? Parte 4: Repositórios de

Informação Parte 5: Genealogia de um

Hacker Parte 6: Ameaças Digitais

PARTE 1

A InformaçãoA Informação

Informação Informação (Michaelis)

do Lat. informatione

s. f.,Ato ou efeito de informar ou informar-se;Comunicação;Conjunto de conhecimentos sobre alguém ou alguma coisa;Conhecimentos obtidos por alguém;Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens;Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.

PropriedadePropriedade (Michealis)

do Lat. proprietate

s. f.,Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno;Bens, posses;Patrimônio físico(tangível) e imaterial(intangível).

ConsideraçãoConsideração

E quando o patrimônio é a informação?

Considerações Segundo a Universidade da

Califórnia em Berkeley(2005): Existe aproximadamente 2.5 Bilhões

de documentos acessíveis na WEB; Este número cresce em cerca de 700

mil páginas por dia. Velhos jargões

“O segredo é a alma do negócio”; Novas tendências

Mundo Globalizado, Ubiqüidade, Acesso a Informação.

PARTE 2

ConceitosConceitos

Axioma de Segurança

““Uma corrente não é mais Uma corrente não é mais forte que o seu elo mais forte que o seu elo mais

fraco”fraco”

Segurança da Informação “A segurança da informação é um

conjunto de medidas que se constituem basicamente de controlescontroles e política de segurançapolítica de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bensativos/bens), controlando o riscorisco de revelação ou alteração por pessoas não autorizadas.”

Política de Segurança

Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação

Ativos (Bens)

Dados Número de

Cartões de Crédito Planos de

Marketing Códigos Fonte Informações de

RHServiços Web sites Acesso a

Internet Controladores

de Domínio ERP

Comunicação Logins Transação Financeira Correio Eletrônico

DefiniçõesDefinições AmeaçaAmeaça

Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recursorecurso;

VulnerabilidadeVulnerabilidade Característica de fraqueza de um bem; Características de modificação e de

captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.

Conceitos BásicosConceitos Básicos

RiscoRisco A probabilidadeprobabilidade da ocorrência de

uma ameaça em particular A probabilidadeprobabilidade que uma ameaça

explore uma determinada vulnerabilidade de um recurso

Ameaça, Vulnerabilidade e Risco Ameaça (evento)

assalto a uma agência bancária Vulnerabilidade (ponto falho)

liberação manual das portas giratórias pelos vigilantes

Risco baixobaixo, devido ao percentual de

assaltos versus o universo de agências

altoalto, se comparando as tentativas frustradas versus as bem sucedidas

Conceitos Fundamentais

Princípios da Segurança

ConfidencialidadeConfidencialidade

IntegridadeIntegridade DisponibilidadeDisponibilidade((AAvailability)vailability)

SegurançaSegurança

CIA – ConfidencialidadeCIA – Confidencialidade

Propriedade de manter a informação a salvo de acesso e divulgação não autorizadosnão autorizados;

Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo pelo donodono da informação, ou seja, as informações e processos são liberados apenas a pessoas pessoas autorizadasautorizadas.

CIA CIA –– Integridade Integridade Propriedade de manter a

informação acurada, completa e atualizada

Princípio de segurança da informação através do qual é garantida a autenticidadeautenticidade da informação

O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico

CIA – Disponibilidade CIA – Disponibilidade (Availability)(Availability)

Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem

Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente

Princípios AuxiliaresPrincípios Auxiliares

Aud

itoria

Aut

entic

ação

Aut

oriz

ação

Iden

tific

ação

Sig

ilo

Métodos- DAC- MAC- RBAC

Vias-O que Sou-O que Sei-O que Tenho

Controle de Acesso

Controle de AcessoControle de Acesso

Suporta os princípios da CIA São mecanismos que limitam o

acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.

Em segurança, é suportado pela tríade AAA (definida na RFC 3127)

Auditoria (Accountability)Auditoria (Accountability)

É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;

Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.

AutenticaçãoAutenticação

Propriedade de confirmar a identidade de uma pessoa ou entidade.

Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser

AutorizaçãoAutorização São os direitos ou permissões,

concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.

Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.

SigiloSigilo Trata-se do nível de confidencialidade

e garantia de privacidade de um usuário no sistema;

Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema.

IdentificaçãoIdentificação Meio pelo qual o usuário apresenta

sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização.

Mecanismos de Controle de Acesso

PARTE 3

Onde Começar ?Onde Começar ?

Leis Imutáveis da Segurança Ninguém acredita que nada de mal possa

acontecer até que acontece; Segurança só funciona se a forma de se

manter seguro for uma forma simples; Se você não realiza as correções de

segurança, sua rede não será sua por muito tempo;

Vigilância eterna é o preço da segurança; Segurança por Obscuridade, não é

segurança; LOGs, se não auditá-los, melhor não tê-

los.

Leis Imutáveis da Segurança Existe realmente alguém tentando

quebrar (adivinhar) sua senha; A rede mais segura é uma rede bem

administrada; A dificuldade de defender uma rede é

diretamente proporcional a sua complexidade;

Segurança não se propõe a evitar os riscos, e sim gerenciá-los;

Tecnologia não é tudo.

By Scott Pulp – Security Program Manager at By Scott Pulp – Security Program Manager at Microsoft Security Response CenterMicrosoft Security Response Center

Responsabilidades da Empresa “Desde que uma empresa

fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas”

Corporate Politics on the Internet: Connection with Controversy, 1996

Segurança nas Organizações

Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades: Tecnologia (hardware, software, redes) Processos (procedimentos, manuais) Pessoas (cultura, conhecimento)

Estas entidades interagem das formas mais variadas e imprevisíveis

A Segurança falhará se focar apenas em parte do problema

Tecnologia não é nem o problema inteiro, nem a solução inteira

Ciclo de Segurança Análise da Segurança (Risk

Assessment) Definição e Atualização de Regras de

Segurança (Política de Segurança) Implementação e Divulgação das

Regras de Segurança (Implementação)

Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)

Auditorias (Verificação do Cumprimento da Política)

Domínios de Conhecimento “The International Information

Systems Security Certification Consortium, Inc. [(ISC)²]” http://www.isc2.org

A (ISC)2 define 10 domínios de conhecimento (CBK), para sua certificação introdutória CISSP Certified Information Systems

Security Professional Common Body of Knowledge

CBK – Common Body Of Knowledge

Security Management Practices Access Control Systems Telecommunications and Network

Security Cryptography Security Architecture and Models Operations Security Applications and Systems Development Business Continuity Planning and

Disaster Recovery Planning Law, Investigation, and Ethics Physical Security

Outras Certificações GIAC - Global Information Assurance

Certification (Sans.Org) 3 Níveis de Expertise em 5 Áreas de

Conhecimento Níveis

GIAC Silver 2 ou mais testes

GIAC Gold Silver + Pesquisa e

Publicação GIAC Platinum

Gold em 2 ou mais AC’s + testes(3 dias)

Áreas de Conhecimento Administração de

Segurança Gerência de

Segurança Operações Legislação Auditoria

Outras Certificações

CompTIA – Security+ 5 Domínios de Conhecimento

Communication Security Infrastructure Security Cryptography Operational Security General Security Concepts

Outras Certificações MCSO – Módulo Certified Security

Officer 2 Módulos compreendendo:

Conceitos, Padrões e Aplicações Fundamentos de Segurança da Informação Organização de departamentos Gestão de pessoas Política de Segurança da Informação.

Gestão de Tecnologias Windows/Unix Segurança em redes e telecomunicações Controle de acesso Arquitetura e modelos de segurança Criptografia

Outros Recursos Academia Latino Americana de

Segurança da Informação Parceria Módulo / Microsoft Composta por:

Estágio Básico (4 módulos) Graduação

Cada disciplina tem seu número de módulos

Em 2006 foram oferecidos o Estágio Básico e a disciplina de ISO17799:2005

Ainda sem calendário e número de vagas para 2007

Necessário possuir usuário cadastrado no site do TechNet

PARTE 4

RepositóriosRepositórios

Sites Úteis

http://www.insecure.org http://www.securityfocus.com http://www.sans.org http://www.digg.com http://techrepublic.com.com http://www.hackaday.com http://slashdot.org http://www.modulo.com.br http://www.invasao.com.br

RSS e PodCasts

Agregadores: Itunes Democracy Player FireAnt Plugins do IE e Firefox

Mídias Áudio mp3/mp4/aac Vídeo DivX/A3C/Streaming

Alguns PodCasts Security Now!

http://www.grc.com/securitynow.htm 2600 - Off The Hook

http://www.2600.com/offthehook SploitCast

http://www.sploitcast.com TWiT – This Week in Tech

http://www.twit.tv/TWiT Extreme Tech

http://www.extremetech.com

Video PodCasts HAK.5

http://www.hak5.org Local Area Security

http://www.localareasecurity.com IronGeek

http://irongeek.com Hacking Illustrated

Revision3 http://www.revision3.com

Digital Life Television (DL Tv) http://dl.tv

Congressos e Eventos HOPE – Hacker on Planet Earth

http://www.hopenumbersix.net DEFCon

http://www.defcon.org – Archives BlackHat

http://www.blackhat.com – Archives H2HC – Hackers 2 Hackers

Conference http://www.h2hc.org.br

CCC.de – Chaos Computer Club http://www.ccc.de

Filmes Jogos de Guerra

(WarGames) 1983, vários

Quebra de Sigilo (Sneakers) 1992, Robert Redford

Piratas de Computador (Hackers) 1995, Angelina Jolie

O Cyborg do Futuro (Johnny Mnemonic) 1995, Keanu Reeves

A Senha (Swordfish) 2001, John Travolta

A Rede (The Net) 1995, Sandra Bullock

Ameaça Virtual (Antitrust) 2001, Ryan Phillippe

Matrix (The Matrix) 1999, Keanu Reeves

Caçada Virtual (Takedown) 2000, Russell Wong

Piratas do Vale do Silício (Pirates of Silicon Valley) 1999, vários

A Batalha do Atlântico (U-571) 2000, Matthew

McConaughey O Caçador de Andróides

(Blade Runner) 1982, Harrison Ford

Listas de Discussão

CISSPBr Yahoo Groups

BugTraq Modulo Newsletter

Outras Fontes• The Hacker News Network

PARTE 5

Genealogia de um HackerGenealogia de um Hacker

Hacker “Unauthorized user who attempts to or gains

access to an information system.” www.tecrime.com/0gloss.htm

“A person who illegally gains access to your computer system.” www.infosec.gov.hk/english/general/glossary_gj.htm

“A person who illegally gains access to and sometimes tampers with information in a computer system.” http://www.webster.com/dictionary/hacker

“A person who accesses computer files without authorization, often destroying vast amounts of data.” www.boydslaw.co.uk/glossary/gloss_itip.html

Linha do Tempo: ‘Hacker’

1878-1969

Surgimento da BELL TC

- Primeira geração de Hackers de Computadores;- Estudantes do MIT nos anos 60; - Capacidade de alterar programas ('hacks') em mainframes para melhorar programas.- Neste caso 'Hacker' tinha uma conotação positiva.- Indicava pessoas capazes de levar programas além de sua capacidade original.

Anos 70Primeiros Phreakers

- Phreaker = Freak, Phone, Free- Surgiu após a substituição das telefonistas por sistemas telefonicos gerenciados por computador- Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz enquanto conversava com sua tia- Fato Captain Crunch e o apito da caixa de cereais que gerava o mesmo ton de 2600 Hz- Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley)

Proliferação dos PCs

1980-1985

-A Evolução da cultura Hacker surge com o aparecimento do PC- Filme War Games- Surgimento da 2600: Hacker Quaterly- Acessar computadores, e tudo aquilo que possa lhe ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo.

Anos 90

Combate a ameaça Hacker

1985-1990Roubos, Bugs e

Federais

-Legislação: Julgamento do primeiro hacker por invasão constante do DoD por diversos anos, Pat Riddle AKA Captain ZAP- Apenas acessar já não era suficiente, distribuição de rpogramas e jogos, e o aparecimento de individuos que não mais respeitavam os códigos de ética- Os verdadeiros hackers começam a se distanciar dos que agra se conhece como ‘Crackers’- Surgem os primeiros Virus e Worms

2000+Hackining: hoje

e no futuro

- Kevin Mitnick- Em resposta as diversas prisões anunciadas na mídia, o termo ‘Hacker’ passa a ter uma conotação pejorativa- Surge o filme Hackers

- Novas técnicas, antigos padrões- Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg,…)- Nasce a consciência comum de Segurança da Informação- Corporações reconhecem a necessidade por segurança- A mídia perpetua o Hacker como uma ameaça- Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers- Surgem os termos ‘White Hat’ e ‘Black Hat’

Trilha Evolutiva

Usuário

Geek Nerd

Script Kid

CrackerHacker

Lammer

White Hat Black Hat

População por segmento

Usuários, Curiosos e Iniciantes

Geeks e Nerds

Script Kidies e Lammers

Hackers e Crackers

White e Black Hats

VT: Parte 1 (1,5 ponto) Dividir a sala em 6 grupos

aproximadamente iguais. Cada grupo apresentará um dos temas

abaixo, sendo 15 min para apresentação e 5 min para perguntas

Data da Apresentação: Próx. Quarta-Feira (14/MAR/2007)Próx. Quarta-Feira (14/MAR/2007)

Temas: Vírus Worm Backdoor Cavalo de Tróia

(Trojan) Bomba Lógica RootKit

Composição do trabalho: Uma apresentação

(ex.: PPT) – 1 ponto Uma pesquisa sobre o

tema escolhido (ex.: DOC) – 0,5 ponto

PARTE 6

Ameaças DigitaisAmeaças Digitais

Ataques Geralmente divididos nos seguintes tipos:

Pelo alvo geral do ataque (aplicações, redes ou misto)

Se o ataque é ativo ou passivo Pelo mecanismo de ataque (quebra de senha,

exploração de código, ...) Ataques Ativos

DoS, DDoS, buffer overflow, inundação de SYN Ataques Passívos

Pesquisa de vulnerabilidade, sniffing, ... Ataques de Senha

Força bruta, Dicionário, “hackish”, Rainbow Tables

Código malicioso (malware) Vírus, trojans, worms, ...

Ataques Ativos DoS/DDoS

Reduzir a qualidade de serviço a níveis intoleráveis

Tanto mais difícil quanto maior for a infra-estrutura do alvo

Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado

“Zombies” e Mestres (Masters), ataque smurf BOTs e BOTNets, ataques “massificados” por

banda larga Tipos

Consumo de Recursos (largura de banda, cpu, RAM, ...)

Pacotes malformados (todas as flags ligadas)

Ataques Ativos (cont.) Buffer Overflow

Sobrescrever o próprio código em execução

“Shell code”, escrito em assembler Tem como objetivo executar algum

código, ou conseguir acesso privilegiado Ataques SYN

Fragilidade nativa do TCP/IP Conexão de 3-vias (Syn, Syn-Ack, Ack)

Spoofing Se fazer passar por outro ativo da rede MITM (Man-In-The-Middle)

Dsniff

Ataques Ativos (Cont.) Lixeiros

Documentos sensíveis mal descartados Informações em hardwares obsoletos Falta de Política de Classificação da Informação

Engenharia social Kevin Mitnick Normalmente relevada nos esquemas de

segurança Utiliza-se do orgulho e necessidade de auto-

reconhecimento, intrínseco do ser humano

““Um computador não estará seguro nem Um computador não estará seguro nem quando desligado e trancado em uma sala, quando desligado e trancado em uma sala,

pois mesmo assim alguém pode ser pois mesmo assim alguém pode ser instruído a ligá-lo.”instruído a ligá-lo.”

[ Kevin Mitnick – A arte de enganar/The Art of Deception ]

Ataques ativos por código malicioso

Malware MALicious softWARE Não apenas Spyware ou Adware “Payload” Vs Vetor

Vírus Auto replicante Interfere com hardware, sistemas

operacionais e aplicações Desenvolvidos para se replicar e

iludir detecção Precisa ser executado para ser

ativado

Ataques ativos por código malicioso (cont)

Cavalos de Tróia (Trojans) Código malicioso escondido em uma

aplicação aparentemente legítma (um jogo por exemplo)

Fica dormente até ser ativado Muito comum em programas de gerência

remota (BO e NetBus) Não se auto replica e precisa ser executado

Bombas Lógicas Caindo em desuso pela utilização de

segurança no desenvolvimento Aguarda uma condição ser atingída Chernobyl, como exemplo famoso (26, Abril)

Ataques ativos por código malicioso (cont)

Worms Auto replicante, mas sem alteração de

arquivos Praticamente imperceptíveis até que

todo o recurso disponível seja consumido

Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede

Não necessita de ponto de execução Se multiplica em proporção geométrica Exemplos famosos:

LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...

Ataques ativos por código malicioso (cont)

Back Door Trojan, root kits e programas legítmos

VNC, PCAnyware, DameWare SubSeven, Th0rnkit

Provê acesso não autenticado a um sistema Rootkit

Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors

Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção

Iniciam no boot junto com os processos do sistema

Ataques Passívos Normalmente utilizado antes de um ataque

ativo Pesquisa de Vulnerabilidades

Pesquisa por Portas/Serviços http://www.insecure.org – Nmap

Escuta (sniffing) Extremamente difícil detecção Não provoca ruído sensível Senhas em texto claro, comunicações não

encriptadas Redes compartilhadas Vs comutadas

Switch Vs Hub WireShark (Lin/Win), TCPDump (Lin)

http://www.wireshark.org http://www.tcpdump.org

Ataques Passívos (cont) Ataques de Senha

Muito comuns pela facilidade de execução e taxa de sucesso

Cain&Abel, LC5, John The Ripper, ... Compara Hash’s, não texto

Força Bruta Teste de todos os caracteres possíveis Taxa de 5 a 6 Milhões de testes/seg, em um

P4 Ataques de Dicionário

Reduz sensivelmente o tempo de quebra Já testa modificado para estilo “hackish”

B4n4n4, C@73dr@l, P1p0c@, R007, ... Rainbow Tables

Princípio Time Memory Trade-off (TMTO)