1

SEGURANÇA DE INFORMAÇÃO

Eudes Danilo Mendonça eudesdanilo@gmail.com http://www.4shared.com/file/39802306/e79291cf/Segurana_de_sistema.html

18/01/2011

2

Indice 1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

3

1. Introdução

4

O sistema informático mais seguro

não é utilizável

O sistema informático mais utilizável

é inseguro

Só existe um computador 100%

seguro, o desligado.

5

Introdução

A Segurança da Informação pode ser definida como a proteção de dados contra a revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.

A segurança no universo computacional divide-se em: – Segurança Física

– Segurança Lógica

6

Introdução (cont.)

Objetivo da Segurança Informática

– Seja qual for a dimensão de um sistema

informático, deve procurar-se atingir, na

sua exploração, os seguintes objetivos:

• Integridade do equipamento

• Confidencialidade e a qualidade da

informação

• Prontidão do sistema (eficiência x eficácia)

O que você está tentando

proteger?

Seus dados

Integridade

Privacidade

Disponibilidade

Seus recursos

Sua reputação

7

Contra o que você está tentando

se proteger?

Roubo de senhas

Engenharia Social

BUG & Backdoors

Falha de autenticação

Falha de protocolo

Obtendo Informações

Negando serviços (DoS)

8

Criptografia

Crachá

Email

Senha

Assinatura Digital

Log Acesso

Certidão de Nascimento

Carteira de Identidade

Carteira Profissional

Título de Eleitor

CPF

Certificado de Reservista

Carta de Motorista

Passaporte

Cartão de Crédito

45c

Identificação

Virtual

Identificação

no Mundo

Real

Devemos cuidar de nossa identidade digital!

Não é preciso contato Com as vitimas

É Facil de aprender a fazer e adquirir ferramentas Um pequeno

investimento causa um grande

prejuizo

Muitas redes podem Ser comprometidas

E muitos paises envolvidos

Deixa pouco ou nenhum rastro

É facil se esconder

Não existe legislação adequada em todos os lugares

Principios da Segurança da Informação 100% de segurança é um valor que não

pode ser atingido

Riscos devem ser calculados e

balanceados

Segurança tem quer ser calculada em

relação a disponibilidade

“Não publico serviços...”

“Não publico serviços...”

“As vulnerabilidades das redes representam as vulnerabilidades dos negócios...”

“As vulnerabilidades das redes representam as vulnerabilidades dos negócios...”

“O importante apenas ter um firewall e um antivírus sempre atualizado...”

“O importante é ter um firewall e um antivírus sempre atualizado...”

“Segurança não tem retorno do investimento...”

“Segurança não tem retorno do investimento...”

“Quanto mais restrito mais seguro“

“Quanto mais restrito mais seguro“

Em que abordagem você confia ?

Segurança como uma opção

Segurança como um aditivo

Integração extremamente complicada

Não é economicamente viável

Não pode focar na principal prioridade

Segurança como parte do sistema

Segurança Embutida na Rede

Colaboração inteligente entre os

elementos

Visão de sistemas

Foco direto na principal prioridade

Normativos de Segurança

ABNT NBR ISO/IEC 17799: 2005 –

Tecnologia da informação – Técnicas de

segurança – Código de práticas para gestão

da segurança da informação.

ABNT NBR ISO/IEC 27001: 2006 –

Tecnologia da informação – Técnicas de

segurança – Sistemas de gestão de

segurança da informação – Requisitos.

ABNT NBR 11515 – Guia de práticas

para segurança física relativas ao

armazenamento de dados.

24

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

25

2. Histórico

26

Breve História da Segurança

Em 1845, um ano depois da invenção do telégrafo, foi desenvolvido um código de encriptação para manter secretas as mensagens transmitidas.

Durante os anos 70, equipas formadas por elementos do governo e da indústria – crackers – tentavam ultrapassar as defesas de sistemas de computadores num esforço de descobrir e corrigir as falhas de segurança.

O nascimento do “Orange Book”.

27

Breve História da Segurança

O “Orange Book” passou a ser a bíblia do desenvolvimento de sistemas seguros. Descrevia os critérios de avaliação utilizados para determinar o nível de confiança que poderíamos depositar num determinado sistema. Tornava a segurança numa medida cômoda para que um cliente pudesse identificar o nível de segurança exigido por um determinado sistema.

Criou as categorias D, C, B, e A, sendo D o menos seguro e A o mais seguro.

28

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

29

3. Tipos de Segurança

30

3.1 - Segurança Física

Deve-se ter em atenção que as ameaças estão sempre presentes, mas nem sempre lembradas, como por exemplo: – Incêndios

– Desabamentos

– Alagamentos

– Relâmpagos

– Problemas na rede elétrica,

– Acesso indevido de pessoas ao Centro de Informática

– Formação inadequado de funcionários

– etc.

31

3.1 - Segurança Física (cont)

O ponto-chave é que as técnicas de

proteção de dados por mais sofisticadas

que sejam, não servem se a segurança

física não for garantida.

Consiste então no desenvolvimento de

medidas de segurança dos equipamentos,

visando garantir a integridade física e a

prontidão dos mesmos.

32

Medidas de Proteção Física

serviços de guarda, alarmes,

fechaduras, circuito interno de televisão

e sistemas de escuta são realmente

uma parte da segurança de dados.

•Salas-cofre

•No-breaks

•Reservas (“Backups”)

•CPD/Data center reserva

•Cópias em fita, etc

•Sistemas redundantes

Identificação dos riscos

Perímetro de segurança Inadequados:

Identificação dos riscos

Presença de materiais de alto poder de combustão:

Identificação dos riscos

Infra-Estrutura Elétrica:

Identificação dos riscos

Combate a incêndio e outros sinistros:

Equipamento para falta de energia elétrica:

Alimentação dentro das salas

Poeiras e Fumo:

Backup´s:

Cofre Digital Detector de Presença

Investimento Médio: R$ 799,90.

Quantidade: 1

Investimento Médio: R$ 36,50.

Quantidade: 5

Controle de Acesso

com Leitor Biométrico

Detector de Fumaça

com Alarme

Investimento Médio: R$ 695,00.

Quantidade: 5

Investimento Médio: R$ 141,99.

Quantidade: 6

Controle de Acesso com Leitor

Biométrico CFTV

Investimento Médio: R$ 695,00.

Quantidade: 2

Investimento Médio: R$ 141,99.

Quantidade: 2

43

3.2 - Segurança Lógica

Esta requer um estudo maior, pois envolve

investimento em softwares de segurança

ou elaboração dos mesmos.

Deve-se estar atento aos problemas

causados por vírus, acesso de

bisbilhoteiros (invasores de rede),

programas de backup desatualizados ou

feito de maneira inadequada, distribuição

de senhas de acesso, etc..

44

Objetivos da Segurança

O objetivo da segurança da informação

abrange desde uma fechadura na porta da

sala de computadores até o uso de

técnicas criptográficas sofisticadas e

códigos de autorização.

O estudo não abrange somente o crime

computacional (hackers), envolve

qualquer tipo de violação da segurança,

como erros em processamento ou

códigos de programação.

45

Segurança Lógica

Um recurso muito utilizado para se proteger

dos bisbilhoteiros da Internet, é a utilização

de um programa de criptografia que

embaralha o conteúdo da mensagem, de

modo que ela se torna incompreensível para

aqueles que não sejam nem o receptor ou

dono da mesma.

Então esta consiste no desenvolvimento de

medidas de segurança que permitam garantir

a confidencialidade e a integridade da

informação (dados).

46

Resumo da Origem dos Riscos

Pessoas

- Displicência/negligência na execução de atividades;

- Desconhecimento/falta de treinamento para a execução de atividades;

- Manipulação para cometer fraudes;

Processos

- Processo mal definido;

- Falta de controles;

- Falta de segregação de funções;

Infra-Estrutura

- Falha em sistema (hardware ou software);

- Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.);

47

Árvore de ameaças: => Desastres ou perigos:

de causa natural

- provocados por água

- cheias

- inundações

- …

provocados por fogo

- incêndios florestais

- ...

provocados por fenômenos sísmicos

provocados por vento

provocados por agentes biológicos ou virais

- epidemias

provocados por eletricidades

- tempestades

- relâmpagos

- descargas de energia

desabamentos

48

Árvore de ameaças (cont): com origem humana

- acidental

fogo

inundações

derrames de substâncias químicas ou biológicas

explosões

queda/despiste de veículos (carros, comboios, aviões, barcos, etc.)

introdução incorrecta de dados nos sistemas

configuração incorrecta dos sistemas

- intencional

quebras contratuais

terrorismo

tumultos

greves

furto

fraude

sabotagem

desabamentos

49

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

50

4 - Objetivos da Segurança

“Segurança não é uma tecnologia”

Quem?

O que?

Quando?

Como?

Onde?

Porque?

Objetivos da Segurança

52

Objetivos da Segurança

A segurança de dados tem por objetivo

restringir o uso de informações

(softwares e dados armazenados) no

computador e dispositivos de

armazenamento associados a

indivíduos selecionados.

53

Os objetivos da Segurança da

Informação são: Preservação do patrimônio da empresa

(os dados e as informações fazem

parte do patrimônio).

– Deve-se preservá-lo protegendo-o contra

revelações acidentais, erros operacionais

e contra as infiltrações que podem ser de

dois tipos:

• Ataques passivos (interceptação)

• Ataques ativos (interrupção, modificação e

Fabricação)

Ataques Passivos

Intercepção

Análise do

conteúdo das

mensagens

Análise do tráfego

Ataques passivos

O objetivo é obter informação que está a ser transmitida.

Este tipo de ataques é muito difícil de detectar. O esforço de

protecção deve ser no sentido da prevenção.

Ataques Passivos

Análise do conteúdo das mensagens – Escutar e

entender as informações.

Análise do tráfego – O oponente pode determinar a origem e identidade das comunicações e pode observar a frequência e comprimento das mesmas. Esta informação pode ser útil para determinar a natureza da comunicação. Os ataques passivos são muito difíceis de detectar porque não envolvem nenhuma alteração de dados. A ênfase ou o esforço deve desenvolvido no sentido da prevenção e não da detecção.

Emissor Receptor

Intercepção

Intercepção

Intercepção – Quando utilizadores não autorizados conseguem

aceder a recursos para os quais não estavam autorizados. É

um ataque à confidencialidade. A parte não autorizada pode ser

uma pessoa, um programa ou um computador. Exemplos:

violação de cabos de comunicação, para capturar dados da

rede, cópia ilícita de pastas e programas, etc.

Ataques Activos

Interrupção

(Disponibilidade)

Modificação

(Integridade)

Fabricação

(Autenticidade)

Ataques Ativos

Envolvem alguma modificação de dados.

Este tipo de ataques é muito difícil de prever, já que, para isso,

seria necessário uma proteção completa de todos os tipos de

comunicações e de canais. Por esta razão, o esforço de

protecção deve ser no sentido de os detectar e recuperar dos

atrasos ou estragos entretanto causados.

Ataques Ativos

Personificação – quando uma entidade simula ser

outra. Normalmente inclui outras formas de ataque

ativo. Por exemplo, as sequências de autenticação

podem ser capturadas e reenviadas depois de uma

autenticação legítima ter acontecido, permitindo que

uma entidade com poucos ou nenhuns privilégios

passe a ter privilégios acrescidos.

Reprodução – envolve a captura de mensagens e a

sua subsequente retransmissão, para produzir

efeitos não autorizados.

Ataques Ativos

Modificação – Significa que uma parte da mensagem

foi alterada, retida ou reordenada, de forma a produzir um efeito não autorizado.

Paragem do serviço – impede a utilização normal de determinado sistema, inibindo partes do seu funcionamento (Apagando determinadas pastas, relativos a um determinado assunto ou função) ou bloqueando completamente todo o sistema. Pode incluir o bloqueamento de uma rede ou a sua sobrecarga com mensagens que degradam a sua performance.

Emissor Receptor

Interrupção

Interrupção

Interrupção – A informação de um sistema torna-se indisponível ou é destruída. É um ataque à disponibilidade.

Exemplos: Destruição de peças de Hardware, o corte de linhas de comunicação, a inoperância do sistema de ficheiros, etc.

Emissor Receptor

Modificação

Modificação

Modificação – uma parte não autorizada, não só acede à informação, mas também a modifica. É um ataque de integridade. Exemplos: alteração de valores num ficheiro de dados; alteração de um programa para que ele funcione de maneira diferente ou modificação do conteúdo de mensagens transmitidas pela rede.

Emissor Receptor

Fabricação

Fabricação

Fabricação – uma parte não autorizada insere dados falsos no sistema. É um ataque à autenticidade. Exemplos: inserção de mensagens simuladas na rede ou a adição de registos a um ficheiro.

63

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

64

5 – Introdução a Ataque

65

O que é ataque?

Ataque é toda ação realizada com

intuito ou não de causar danos.

Os velhos e os novos meios de cometer crimes!

PRECISAMOS COMBATER A

FALTA DE ATENÇÃO E

NEGLIGÊNCIA DO USUARIO!

Vulnerabilidades

Todo computador é vulnerável a ataques. (Possui informação)

• Tipos de Vulnerabilidades – Vulnerabilidades Físicas (Meio, Construção)

– Vulnerabilidades Naturais (Desastres Naturais)

– Vulnerabilidades de Hardware e Software(Falhas)

– Vulnerabilidades de Media (Roubos de Media)

– Vulnerabilidades de Comunicação (Hacker)

– Vulnerabilidades de Humanos (Usuários)

– Vulnerabilidades sobre Exploit (Brechas, Copias)

Uma ameaça é uma potencial violação de segurança

As ações que podem acarretar a violação são

denominadas de ataques

Aqueles que executam tais ações são denominados de

atacantes

Os serviços de suporte a mecanismos para

confidencialidade, integridade e disponibilidade visam

conter as ameaças à segurança de um sistema

68

Ameaças

O que é uma ameaça ?

Uma ameaça é algum fato que pode

ocorrer e acarretar algum perigo a

um bem.

Tal fato, se ocorrer, será causador de

perda.

É a tentativa de um ataque.

Quer dizer que os “hackers” não

deixam pegadas”?

Como você vai saber que seus dados foram corrompidos?

Um ataque típico

71

Etapas de um Ataque

1. Footprinting (reconhecimento)

2. Scanning (varredura)

3. Enumeration (enumeração)

4. Ganhando acesso (invasão)

5. Escalada de privilégios

6. Acesso à informação

7. Ocultação de rastros

8. Instalação de Back doors (portas de

entrada)

9. Denial of Service (negação de serviço)

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

1. Footprinting (reconhecimento)

Informações básicas podem indicar a postura e a política de segurança da empresa

Coleta de informações essenciais para o ataque – Nomes de máquinas, nomes de login, faixas de IP,

nomes de domínios, protocolos, sistemas de detecção de intrusão

São usadas ferramentas comuns da rede

Engenharia Social – Qual o e-mail de fulano?

– Aqui é Cicrano. Poderia mudar minha senha?

– Qual o número IP do servidor SSH? e o DNS?

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

2. Scanning (varredura ou mapeamento) De posse das informações coletadas,

determinar – Quais sistemas estão ativos e alcançáveis – Portas de entrada ativas em cada sistema

Ferramentas – Nmap, system banners, informações via SNMP

Descoberta da Topologia – Automated discovery tools: cheops, ntop, … – Comandos usuais: ping, traceroute, nslookup

Detecção de Sistema Operacional – Técnicas de fingerprint (nmap)

Busca de senhas contidas em pacotes (sniffing) – Muitas das ferramentas são as mesmas

usadas para gerenciamento e administração da rede

Mapeamento de rede

Tela do Cheops (http://cheops-ng.sourceforge.net)

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

3. Enumeration (enumeração)

Coleta de dados intrusiva – Consultas diretas ao sistema – Está conectado ao sistema e pode ser notado

Identificação de logins válidos Banners identificam versões de HTTP, FTP

servers Identificação de recursos da rede

– Compartilhamentos (windows) - Comandos net view, nbstat

– Exported filesystems (unix) - Comando showmount

Identificação de Vulnerabilidades comuns – Nessus, SAINT, SATAN, SARA, TARA, ...

Identificação de permissões

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

4. Ganhando acesso (invasão) Informações coletadas norteiam a estratégia de

ataque

Invasores tem uma “base” de vulnerabilidades – Bugs de cada SO, kernel, serviço, aplicativo – por

versão

– Tentam encontrar sistemas com falhas conhecidas

Busca privilégio de usuário comum (pelo menos)

Técnicas – Password sniffing, password crackers, password

guessing

– Session hijacking (sequestro de sessão)

– Ferramentas para bugs conhecidos (buffer overflow)

Hackers constróem suas próprias ferramentas

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

5. Escalada de privilégios Uma vez com acesso comum, busca

acesso completo ao sistema (administrator, root)

Ferramentas específicas para bugs conhecidos

– "Exploits"

Técnicas

– Password sniffing, password crackers, password guessing

– Session hijacking (sequestro de sessão)

– Replay attacks

– Buffer overflow

– Trojans

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

6. Acesso a informação

Alguns conceitos relacionados à “informação”

– Confidencialidade – trata do acesso autorizado

– Integridade – trata da alteração autorizada

– Autenticidade – trata da garantia da autoria da informação

– Disponibilidade – disponível quando desejada, sem demora excessiva (com autorização)

– Auditoria – trata do registro do acesso

Invasor pode atuar contra todos os conceitos acima, de acordo com seus interesses

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

7. Ocultação de rastros

Invasor usa tenta evitar detecção da presença

Usa ferramentas do sistema para desabilitar auditoria

Toma cuidados para não deixar “buracos” nos logs – excessivo tempo de inatividade vai denuciar

um ataque

Existem ferramentas para remoção seletiva do Event Log

Esconde arquivos “plantados” (back doors)

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

8. Instalação de Back doors

Objetivo é a manutenção do acesso – Rootkits – ferramentas ativas, mas escondidas – Trojan horses – programas falsificados – Back doors – acesso/controle remoto sem

autenticação

Trojans podem mandar informação para invasor – Captura teclado – Manda um e-mail com a senha

Rootkits se confundem com o sistema – Comandos modificados para não revelar o invasor

Back doors – Sistemas cliente/servidor – Cliente na máquina invasora controlando Servidor na

máquina remota – Não aparecem na "Task List" do Windows NT/2k

Anatomia de um ataque

Reconhecimento Varredura

Enumeração

Invasão Escalando

privilégios

Acesso à

informação

Ocultação

de rastros

Negação de

Serviços

Instalação de

back doors

9. Denial of Service (negação de serviço)

Ataques com objetivo de bloquear serviços, através de: – Consumo de banda de rede

– Esgotamento de recursos

– Exploração de falhas de programação (ex: ping da morte)

– Sabotagem de Roteamento

– Sabotagem no DNS

DDoS Distributed Denial of Service – Ataques coordenados de múltiplas fontes

93

Taxonomia de ataques a redes e computadores

Atacantes

Hackers

Espiões

Terroristas

Agressores internos

Criminosos Profissionais

Vândalos

Meios

Comandos de usuários

Programas ou scripts

Agentes autônomos

Toolkits

Ferramentas distribuídas

Grampo de Dados

Acesso

Vulnerabilidade

implementação

Acesso não autorizado

Processos (arquivos ou dados

em trânsito) Vulnerabilidade

projeto

Vulnerabilidade

configuração

Uso não autorizado

Resultados

Corrupção da informação

Revelação da informação

Roubo de serviço

Recusa de serviço

Objetivos

Desafio, status

Ganho político

Ganho financeiro

Causar perdas

Serviços de segurança

Definição de segurança computacional

O que um hacker ataca ?

Aplicações

Banco de dados

Sistemas operacional

Serviços de rede

95

96

97

Motivação para o Ataque

• Por quê existem as invasões aos sistemas?

– Orgulho

– Exibicionismo/fama

– Busca de novos desafios

– Curiosidade

– Protesto

– Roubo de informações

– Dinheiro

– Uso de recursos adicionais

– Vantagem competitiva

– Vingança

98

Exemplo: Oliberal 10/02/08

99

Fonte de Problemas ou Ataques

Estudante – Alterar ou enviar e-mail em nome de outros

Hacker - Examinar a segurança do Sistema; Roubar informação

Empresário - Descobrir o plano de marketing estratégico do competidor

Ex-empregado - Vingar-se por ter sido despedido

Contador - Desviar dinheiro de uma empresa

Corretor - Negar uma solicitação feita a um cliente por e-mail

Terrorista - Roubar segredos de guerra

Outros

Principais Ameaças

9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security

Principais Obstáculos

9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security

Caso Real

Atualmente 85% das quebras de

segurança corporativas são geradas

internamente.

Perfil do Fraudador*:

• 68% estão na Média e Alta Gerências

• 80% tem curso superior completo

• Predominantemente do Sexo Masculino

• Idade média entre 31 e 40 anos *Pesquisa sobre crimes econômicos - PWC 05

Caso Real

104

Tipos de ataques conhecidos

• Negação de serviços

– Syn Flood – inundar a fila de SYN para negar novas conexões

– Buffer overflow – colocar mais informações do que cabe no buffer

– Distributed DoS (DDoS) – ataque em massa de negação de serviços

– Ping of Death – envio de pacote com mais de 65507 bytes

– Smurf – envio de pacote ICMP em broadcast a partir de uma máquina, sendo inundada com as respostas recebidas

– CGI exploit

– Land, syn flooding, ...

• Simulação

– IP Spoofing – uso do IP de uma máquina para acessar outra

– DNS Spoofing – assumir o DNS de outro sistema

• Investigação

– Port scanning – varredura de portas para tentar se conectar e invadir

• Spam

– Acesso a um grande número de pessoas, via email, com link para sites clonados que pedem informações pessoais

105

Tipos de ataques conhecidos

• Escutas

– Packet Sniffing – escuta e inspeciona cada pacote da rede

– IP/Session Hijacking – interceptação da seção pelo invasor

• Senha

– Uso de dicionário de senhas

– Força bruta – tentativa e erro

• Outros ataques

– Alteração de site (web defacement)

– Engenharia social

– Ataque físico às instalações da empresa

– Uso de cavalos de tróia e códigos maliciosos

– Trashing – revirar lixo em busca de informações

– War dialing – liga para vários números de telefone para identificar os que tem modem instalado

•Penetração de sistemas

•Falsificação de endereço (spoffing)

•Ataque dissimulado

•Penetração do controle de segurança do

sistema

•Escoamento

•Comprometimento de recursos

• Uso malicioso

Tipos de ataques (cont)

01:35

LogicbombsTrapdoors

Trojanhorses WormsViruses Bacteria

Maliciousprograms

Needs hostprogram Independent

•Muitos meios e ferramentas

•Diminuirmos a vulnerabilidades.

•Firewalls (fornecem limites fisicos)

Ferramentas de IDS

DMZ

Como Evitar

•Conjuntos, de medidas que envolvem aspectos

de negócios, humanos, tecnológicos,

processuais e jurídicos.

• Políticas de segurança de usuários.

• Separação entre rede publica e privada.

• Sistemas de detecção de intrusão.

• Implementação de Criptografia.

• Autenticação.

Como Evitar (cont)

•Controles de acesso

•Conhecer seus possíveis inimigos

•Política de senhas

•Política de acesso remoto

•Política de segurança (em ambientes cooperativos)

•Treinamento

•Conscientização

•Sistema de Detecção de intrusão IDS

Como Evitar (cont)

110

Como prevenir e evitar Ameaças Internas?

Restringir ao máximo o acesso dos usuários às informações vitais da organização;

Restringir o acesso físico às áreas críticas;

Definir e divulgar normas e políticas de acesso físico e lógico;

Implementar soluções de criptografia para informações críticas;

Implementar soluções de auditoria para informações críticas;

Controlar o acesso de prestadores de serviços as áreas críticas e as informações.

111

Dicas simples de proteção aos

usuários:

• Nunca dê sua senha ou informações pessoais a estranhos na Internet

• Nunca clique em links desconhecidos

• Nunca dê download e execute arquivos desconhecidos

• Fique alerta sobre qualquer empresa que não divulgar seu nome, endereço web ou número telefônico de forma clara

Port 80

App.exe

Ex: Email para roubo de informações

112

Ex: Email para roubo de informações

113

Ex: Email para roubo de informações

114

Ex: Email para roubo de informações

115

Ex: Email para roubo de informações

116

Ex: Email para roubo de informações

117

Ex: Email para roubo de informações

118

Ex2: Clonagem de cartão de banco

119

Bocal preparado

Ex2: Clonagem de cartão de banco

120

Imperceptível para o cliente

Ex2: Clonagem de cartão de banco

Micro câmera disfarçada de porta panfleto

Ex2: Clonagem de cartão de banco

122

Visão completa da tela e teclas digitadas

Ex2: Clonagem de cartão de banco

123

Visão completa da tela e teclas digitadas

Ex2: Clonagem de cartão de banco

124

Micro câmera Bateria Antena transmissora

Ex3: Email de promoção (roubo

informação)

125

Ex3: Email de promoção (roubo

informação)

126

Ex4: Antivirus Gratis

127

Ex5: Engenharia Social

Ao atender um telefonema, o interlocutor se

identifica como vice-diretor da empresa. Você

já o viu pelos corredores, mas nunca falou

com ele por telefone. Ele informa que se

encontra na filial da empresa, em reunião, e

está com problemas para acessar o sistema.

Assim sendo, solicita a senha para que

possa ter acesso. Informa, ainda, que está

acompanhado de 10 pessoas que possuem

outros compromissos e que não podem

esperar por muito tempo.

128

Ex6: Email Receita Federal

129

Cópia de identidade visual de órgãos

públicos

Pedido de

download de

arquivos /

erros de

português

Cópia de identidade visual de

entidades populares

História

estranha e

mal contada

Necessidade

urgente de

download

Serviço inexistente

Pedido de download de arquivos

Ameaças

Uso de marca popular Distrbuição

muito vantajosa

de prêmios

Pedido de

download de

arquivo

Uso de marca popular

Erro de português

Dívida inexistente

Falta de menção a endereço

por extenso

Erro de português

Falha no site do Bradesco permitiu ataque

XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-

inst-xss/)

136

Criminosos brasileiros conseguiram descobrir um problema em uma página

do Bradesco que permitia que a mesma fosse “alterada” por meio de links,

possibilitando o uso do domínio do banco para todo tipo de atividade

maliciosa.

Para tal, crackers enviaram e-mail em massa contendo um link que

explorava uma falha de XSS (Cross Site Scripting) existente em uma

página localizada em institucional.bradesco.com.br. Se clicado, o link

enviava informações à página que causavam um comportamento

indesejável, fazendo com que argumentos da query string — como é

chamada a parte do link depois do ponto de interrogação (”asp?…”) —

fossem inseridas como código, permitindo o ataque.

Dias antes da publicação desta matéria, a Linha Defensiva notificou o

Bradesco. O banco removeu a página vulnerável dentro de

aproximadamente 48 horas, inutilizando o ataque.

A mensagem contendo o link que explorava a brecha solicitava o

recadastramento das “chaves de segurança” usadas nas transações através

da Internet, convidando o usuário a fazê-lo por meio do link.

Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)

Como é demonstrado na imagem, a maioria dos navegadores e os programas de e-mails

não exibem o endereço completo de uma URL, se esta for muito extensa, não permitindo

que a existência do golpe seja percebida.

Embora o e-mail tenha usado uma técnica refinada que facilmente poderia enganar até

mesmo usuários com certa experiência, devido ao link camuflado, erros de ortografia

característicos de golpes e fraudes se faziam presentes. Aparentemente, o sistema de e-

mail em massa usado pelos criminosos não era compatível com caracteres especiais,

como acentos.

137

Falha no site do Bradesco permitiu ataque

XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-

inst-xss/)

138

XSS

Cross Site Scripting, ou XSS, é um tipo de vulnerabilidade onde determinada página de internet não filtra

suficientemente as informações enviadas pelo navegador web, sendo possível fazê-la exibir conteúdos de

outros sites, ou conteúdos especificados no próprio link ou outra informação.

Um exemplo clássico é a página de busca. Em geral, páginas de buscas exibem na tela a informação que

está sendo procurada (por exemplo, “Você está procurando por: [termo de pesquisa]“). Se a exibição desta

informação não for filtrada corretamente, a informação, em vez de exibida, será interpretada como código

HTML pelo navegador, possibilitando o ataque.

Fóruns, livros de visitas e blogs (este último, devido à função de comentários) podem ser vítimas do XSS

permanente, onde um post malicioso, por exemplo, fica permanentemente no ar e afetará qualquer usuário

que o ver. Este é o ataque de XSS persistente, ou tipo 2.

O Bradesco foi alvo do XSS impermanente ou não-persistente, também chamado de XSS tipo 1.

O objetivo de ataques XSS é geralmente roubar informações importantes da vítima, tais como os cookies

de autenticação. Porém, XSS também pode ser usado para alterar os sites e usar da confiança depositada

pelo internauta na página para persuadi-lo a enviar informações sigilosas, ou para rodar código malicioso

nos PCs de visitantes.

A Linha Defensiva já noticiou a respeito de brechas semelhantes no YouTube e no Orkut.

Para se prevenir de ataques XSS impermanentes, recomenda-se que links recebidos em mensagens de e-

mail e similares não sejam clicados, a não ser quando estava-se esperando absolutamente o e-mail em

questão (como, por exemplo, depois de registrar-se em um site para validar sua conta). Sempre que

possível, deve-se digitar o endereço do site na barra de endereços do navegador e procurar manualmente o

que foi indicado no e-mail.

Brechas de XSS tipo 2 são difíceis de serem evitadas pelo usuário, sendo a responsabilidade do site nesses

casos ainda maior, embora, em última instância, a responsabilidade sempre seja do site.

Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)

Ao acessar o link, o internauta era direcionado para uma página do Bradesco

(Index_Pesquisa.asp) que, vulnerável a XSS, carregava outra página, hospedada em um

domínio brasileiro (cujo nome não foi divulgado por se tratar de um domínio legítimo

comprometido).

Em ataques XSS, páginas legítimas são usadas de forma maliciosa e um código (no caso

acima, um FRAMESET1) é inserido na página legítima. O conteúdo da página será,

portanto, diferente do esperado.

139

Novos ataques

140

Lista de Hackers fornecida: Amores On-line - cartão virtual - Equipe Carteiro Romântico - Uma pessoa que

lhe admira enviou um cartão

As fotos que eu tinha prometido. Álbum pessoal de fotos

AVG Antivírus - Detectamos que seu E.Mail está enviando mensagens contaminadas com o vírus w32. bugbear

Aviso - você está sendo traído - veja as fotos

Aviso - você está sendo traído - veja as imagens do motel

Banco do Brasil informa - Sua chave e senha de acesso foram bloqueados - Contrato Pendente - Clique para fazer atualização

Big Brother Brasil - ao vivo - quer ver tudo ao vivo e ainda concorrer a promoções exclusivas? Clique na fechadura

Câmara dos Dirigentes Lojistas - SPC - Serviço de Proteção ao Crédito - Notificação - Pendências Financeiras - Baixar o arquivo de relatório de pendências.

carnaval 2005 - veja o que rolou nos bastidores do carnaval de São Paulo

Cartão Terra - eu te amo - webcard enviado através do site Cartões Terra

Cartão UOL - I love you - você recebeu um cartão musical - Para visualizar e ouvir escolha uma das imagens

Cartões BOL - Você recebeu um cartão BOL

Cartõesnico.com - Seu amor criou um cartão para você

Checkline - Consultas de crédito on-line - Consultas no Serasa/SPC

Claro Idéias - Grande chance de ganhar meio milhão de reais em ouro e 18 carros

Colaneri e Campos Ltda - Ao Gerente de Vendas - orçamento de material e equipamentos em urgência

Lista de Hackers fornecida: Correio Virtual - hi5 - Seu Amor te enviou este cartão

CPF cancelado ou pendente de regularização - verifique; seu CPF está cancelado

Declaração de Imposto de Renda de 2005/06 - Ministério da Fazenda - CPF Cancelado ou Pendente de Regularização

Ebay - your account could be suspended - Billing Department

Embratel - Comunicado de Cobrança - Aviso de Bloqueio

Embratel - Notificação Confidencial - Fatura de serviços prestados Clique para detalhamento da fatura

Emotion Cards - UOL - Parabéns você recebeu um Presente Virtual

Febraban - Guia de Segurança - Febrasoft Security

Finasa - Nossa Caixa - Fraudes Bancárias - Febraban

Fininvest - débito em atraso - pendências financeiras em seu CPF/CNPJ

Ganhe uma viagem a Paris - Guia Paris Lumiére

Gmail - Gmail Amigo Oculto - Baixar Formulário - E-mail de 1 Giga

Humortadela - Piada animada sempre amigos

Humortadela - você é 10 - acesse o link e sacaneie

Humortadela - você recebeu uma piada animada - Ver Piada Animada

Ibest - acesso grátis e fácil - discador ibest - 0800 conexão sem pulso telefônico. Grátis - Download

Larissa 22 aninhos - www. mclass. com. br - clique aqui e veja o vídeo

Leiam esta informação IMPORTANTe

Martins Com Ltda - Setor de Compras - Orçamento

Mercado Livre - Aviso - Saldo devedor em aberto na sua conta - e pagamento não for quitado acionaremos departamento jurídico

Lista de Hackers fornecida: Olá, há quanto tempo! Eu me mudei para os Estados Unidos, e perdemos

contato...

Olha o que a Globo preparou para você neste ano de 2005 - Big Brother Brasil 5 - Baixe o vídeo

Overture - Promoção para novos assinantes - Tem cliente procurando, tem você oferecendo, vamos juntar os dois. Seja encontrado por quem quer comprar

Paparazzo - globo. com - se você gostou de uma espiada no vídeo

Parperfeito - Você foi adicionado aos prediletos - Associado do Par Perfeito

Passe Livre de 7 dias no Globo Media Center

Promoção Fotolog.net e UBBI - sorteio de 10 Gold Cam por dia - Crie seu fotolog e concorra

Radio Terra - dedique uma música

Receita Federal - CPF cancelado ou pendente de regularização

Saudades de você - Sou alguém que te conheceu há muito tempo, e tive que fazer uma viagem - Espero que goste das fotos

SERASA - pendências referentes a seu nome - Extrato de débito

SERASA - Regularize seu CPF ou CNPJ - clique para extrato de débitos

Sexy Clube - Thaty Rio - Direto do Big Brother - Veja as fotos em primeira mão

Sou um amigo seu - você está sendo traído - veja as fotos

Symantec - Faça sua atualização do Norton 2005 aqui - Gratuita - Licença para 1 ano grátis

Terra Cartões - O meu melhor presente é você

Tim pós pago - pendências no SPC - Sistema de Proteção aoCrédito - Serial do Celular

Lista de Hackers fornecida: Microsoft - Ferramenta de remoção de softwares Mal-Intencionados do

Microsoft Windows - Windows XP fica a cara de quem recebe um cartão Voxcards

Microsoft Software - Este conteúdo foi testado e é fornecido a você pela Microsoft Corporation - Veja as novidades

Music Cards - Confirmação

Necktsun Comércio Ltda - Palmas - Departamento de Vendas - Orçamento

Netcard Cartões Virtuais - Emoções de verdade

Norton Antivírus - Alerta de Segurança - download do antídoto para o Ms. Bruner

Notificação Confidencial - Pendências Financeiras em seu CPF

O carteiro - você recebeu um cartão de quem te admira

O carteiro. com - tenho uma novidade para você - veja o cartão que preparei

Voxcards - cartão voxcards - para quem você vai mandar um cartão hoje?

Voxcards - mensageiro - você está recebendo um cartão virtual voxcards - Precisa instalar o plugin - clique para instalar

Webcard Terra - Feliz Dia das Mães - Existe um presente especial esperando por você no site de cartões do terra.

Week - Complimentary Subscription Confirmation - Free - Please Apply online - PC Week

www. symantec. com - A solução Antivírus mais confiável do mundo

www.microsoft. com - Proteja seu computador com antivírus

Lista de Hackers fornecida: UOL - Promoção Cultural - Cara cadê meu carro

UOL Cartões - Estou com saudades - clique para visualizar

UOL Cartões - Seu amor lhe enviou um cartão - clique para baixar

UOL Cartões - Você recebeu um lindo cartão virtual

Veja as fotos proibidas das musas do bbb5

Viagens contaminadas com o w32. bugbear

Virtual Cards - Um grande abraço da equipe virtual cards - ler cartão

VIVO - Torpedos Web Gratuito - Torpedo Fácil Vivo

Yahoo Cartões - Você é tudo para mim - clique na imagem

Yahoo Cartões - Você é tudo para mim - enviado por quem te admira

Outra dica importante: nunca abra E-Mails de remetentes desconhecidos!

Sempre desconfie de E-Mails que solicitam 'clique aqui' ou ' acesse o link (tal)' ou ' veja minha foto' ou ' te encontrei , lembra-se de mim? ' ou ' ligue-me para sairmos' , etc...

E, finalmente, para ter certeza que é de um golpe que você está sendo vítima, passe o mouse - sem clicar - pela palavra do direcionamento : você vai ver, na barra inferior - à esquerda da tela -, que se trata de um arquivo com a terminação 'exe' ou 'scr' ou outra. Arquivo este(s) que vai (vão) espionar seu computador, roubando seus dados, senhas, etc.

Lista de Sites suspeitos

No Brasil, o crime compensa: a pena para estelionatário varia apenas

de 1 a 5 anos e não precisa devolver o dinheiro aos lesados. Além

disso, o infrator pode ter prisão domiciliar. Parabéns, juristas

brasileiros. Obrigado pela impunidade no país.

Aqui vai uma relação das lojas que encontrei na Internet relacionadas

a golpes. Seus preços são altamente competitivos e exigem deposito

antecipado e pedem de 15 a 20 dias para entregar a mercadoria. Este

é o tempo suficiente para aplicar o golpe e lesar milhares de pessoas.

A maior quadrilha age em Araçatuba, SP, e a polícia não investiga

esses crimes. Acabaram de sumir com o site

www.eletrosampa.com.br, http://www.eletrosampa.com.br/, após haver

lesado milhares. Digite o nome eletrosampa no google e veja você

mesmo. Aí vai a lista de lojas de quadrilhas (sem o www inicial, para

evitar conexões acidentais).

146

Lista de Sites suspeitos 01- ascomputadores.com.br

02- atamicro.com. br

03- atashop.com.br

04- atualmicro.com.br

05- audy.com.br

06- belashop.com.br

07- birishop.com. br

08- bondcompras.com.br

09- buskofertas.com.br

10- claudilivros.com.br

11- clicmicros.com.br

12- compuserveinfo.com.br

13- computecnet.com

14- computronics.com.br

15- cristalshop.com.br

16- cyberfast.com. br

17- ddshop.com.br

18- devairgames.com.br

19- digitalpcs.com.br

20- ecportal.com.br

21- eletromicro.com.br

22- eletrototal.com.br

23- euronote.com.br

24- fiveshop.com.br

25- futuracomputadores.com.br

26- galeriashop.com.br

27- insidecomputers.com.br

28- kaled.com.br

29- kapella.com.br

30- katoecia.com

31- lehugo.com.br

32- litetelecom.com.br

33- matrixshop.com.br

34- maxisound.com.br

35- microata.com.br

36- microfest.com.br

37- multishopcompras.com.br

38- navegantes.com.br

39- netmicros.com.br

40- netstart.com.br

41- nikishop.com.br

42- notestar.com.br

43- o ferta10.com.br

44- pcihouse.com.br

45- pcishop.com.br

46- pcvitrine.com.br

47- perfumesreal.com.br

48- portalmicro.com.br

49- ravelnet.com.br

50- rgsuprimentos.com.br

51- saturtec.com.br

52- shopamerica.com.br

53- shopsummer.com.br

54- viaclic.com.br

55- digitalplay.com.br

56 - Mercado Livre/Pago - vendedor Sebastião

Guilherme 147

Lista de Sites suspeitos

148

Quem for um pouco mais atento, verificará facilmente algumas coincidências 'incríveis' que

acontecem com todos esses sites. Aliás, depois de ler esse texto, acho que eles vão mudar a

forma como fazem os sites. Observem que todas lojas têm uma seção chamada 'confirmação

de pagamento'. Vejam como as seções dessas lojas são incrivelmente iguais (apenas lojas da

lista de Araçatuba e Birigui):

Acredito que todas lojas da quadrilha citadas na lista possuem o mesmo formulário. Verifiquem

a ordem dos campos para preenchimento do comprovante de pagamento, sempre igual:

1- Nome

2- E-mail

3- Número do pedido

4- Data do pagamento

5- Forma de pagamento utilizada

6- Deixe alguma observação sobre o pagamento

7- Valor Depositado / pago

8- Selecione: Integral / Referente ao frete

Cada loja virtual tem seu padrão para fazer esses formulários, é impossível serem todas iguais

como essas são. Isso é mais um indício de que TODAS essas lojas devem ser da mesma

quadrilha. Não se deixem iludir pela argumentação convincente desses representantes da

Cyberfast. Ele está apenas querendo fazer com que nós sejamos iludidos e idiotamente

enganados. Eles colocam um mediador no fórum (com certeza um deles) e assim convencem

os consumidores. Outra coisa: Pesquisas realizadas recentemente demonstram que o Brasil é

um dos países que mais recebem ataques de hackers, com o intuito de fraudar usuários da

internet, principalmente aqueles que acessam com freqüência sites de bancos.

Lista de Sites suspeitos

149

3 dicas abaixo para verificar a autenticidade do site (talvez você possa

acrescentar uma outra dica...):

1 - Minimize a página: se o teclado virtual for minimizado também, está

correto, no entanto, se ele permanecer na tela sem minimizar, é pirata!

Não tecle nada.

2 - Sempre que entrar no site do banco, digite sua senha ERRADA na

primeira vez . Se aparecer uma mensagem de erro significa que site é

realmente do banco, porque o sistema tem como checar a senha

digitada. Mas se digitar a senha errada e não acusar erro é mau sinal.

Sites piratas não tem como conferir a informação, o objetivo é apenas

capturar a senha.

3 - Sempre que entrar no site do banco, verifique se no rodapé da página

aparece o ícone de um cadeado. Clique 2 vezes sobre esse ícone e uma

pequena janela com informações sobre a autenticidade do site deve

aparecer. Em alguns sites piratas o cadeado pode até aparecer, mas

será apenas uma imagem e ao clicar 2 vezes sobre ele, nada irá

contecer.

Os 3 pequenos procedimentos acima são simples, mas garantirão que

você jamais seja vítima de fraude virtual.

Symantec: relatório mapeia mercado negro de dados Um estudo conduzido pela Symantec mapeou o mercado negro de dados. O

relatório traz o preço das informações negociadas por criminosos e mostra como as empresas podem ter prejuízos com a vulnerabilidade dos dados dos clientes. Segundo Marcelo Silva, diretor de serviços da companhia no Brasil, já existe um ecossistema criado em torno do roubo de dados. “Quem rouba nem sempre vende os dados. A gente fala de crime organizado, mas o que existe é um grande mercado”, afirma o executivo. Veja tabela com o preço dos dados no mercado negro:

Produto Preço

Contas bancárias de 10 dólares a mil dólares

Cartões de crédito de 0,40 dólar a 20 dólares

Identidades completas de 1 dólar a 15 dólares

Contas do eBay de 1 dólar a 18 dólares

Senhas de e-mail de 4 dólares a 30 dólares

Proxies de 1,5 dólar a 30 dólares CW Connect - No grupo de discussão sobre Crimes Digitais do CW Connect, a primeira rede social para profissionais de tecnologia da informação e telecomunicações do mercado, uma das participantes - a analista Fabiana - inseriu uma pesquisa sobre as principais ameaças às informações da empresa:

1 - Vírus 75% (Por falta de conhecimento os usuários baixam programas sem conhecimento, acessam sites suspeitos, etc) 2 - Divulgação de senhas 57% 3 - Hackers 44% 4 - Funcionários insatisfeitos 42% 5 - Acessos indevidos 40% 6 - Vazamento de informações 33%

151

152

Análise de Segurança

153

– Origem de ataques informáticos:

• 85% são originados na rede interna de uma organização

• 15% são originados em plataformas externas

– Método de levantamento remoto de recursos

• Recolher o máximo de informação para caracterizar o

sistema alvo

• Analisar a informação que o sistema disponibiliza

através das mensagens de serviços instalados

• Utilizar aplicações especializadas e desenvolvidas para

esse fim, com base nas idiossincrasias da pilha IP do

sistema a analisar

Análise de Segurança

154

São falhas em serviços, aplicativos e sistemas operacionais que pode acarretar acesso ao sistemas parcial ou total em nível de administração.

Hoje temos ferramentas de escaneamento de vulnerabilidades que detecta falhas de sistemas, mais também são utilizadas para invasão.

Segundo o site sectools.org temos as 10 principais ferramentas de escaneamento de vulnerabilidades de sistemas.

– Nessus, GFI LANguard, Retina, Core Impact, ISS Internet Scanner, X-scan, Sara, QualysGuard, SAINT, MBSA

0100101101001

Usuário

Rede

Dados

Falhas da Rede causam problemas de performance

Sniffer® provê a visão mais detalhada do tráfego de

rede - Total Network Visibility

Sniffer é o produto com maior facilidade de uso do

mercado, que resolve problemas em redes de qualquer

tamanho e complexidade

O Que é Análise de Rede?

156

Soluções para a Insegurança

Informática NMAP

- É uma ferramenta para exploração de rede criada

pelo Fyodor. É uma das ferramentas mais

importantes para engenharia de segurança ou pen-

tester. Com ele você poderá entrar em uma rede e

buscar serviços que estão escutando em cada porta

especifica. Você pode fazer um varredura de

tcp()connect que fará uma conexão completa com o

host ou uma syn scan que fará uma simples conexão

que servirá para testar regras de firewall por

exemplo.

157

Soluções para a Insegurança

Informática NMAP (I)

Alvo:

MS-Windows 95

modificado

158

Soluções para a Insegurança

Informática NMAP (II)

Alvo:

Linux Mandrake

modificado

159

Soluções para a Insegurança

Informática NMAP (comandos)

Um rastreio(scan)

típico do Nmap é

mostrado em

Example 1, “Uma

amostra de

rastreio(scan) do

Nmap”. Os únicos

argumentos que o

Nmap utiliza nesse

exemplo são -A para

permitir a detecção de

SO e a versão -T4

para execução mais

rápida e os nomes de

anfitrião(hostnames)

de dois alvos.

160

Soluções para a Insegurança

Informática NMAP (comandos - Ubuntu)

Version detection:

Após as portas TCP

e/ou UDP serem

descobertas por

algum dos métodos, o

nmap irá determinar

qual o serviço está

rodando atualmente.

O arquivo nmap-

service-probes é

utilizado para

determinar tipos de

protocolos, nome da

aplicação, número da

versão e outros

detalhes

161

Soluções para a Insegurança

Informática NMAP (comandos - Ubuntu)

D <decoy1,[decoy2],[SEU_IP]...>

Durante uma varredura, utiliza uma série de

endereços falsificados, simulando que o scanning

tenha originado desses vários hosts, sendo

praticamente impossível identificar a verdadeira

origem da varredura.

sudo nmap -D IP1,IP2,IP3,IP4,IP6,SEU_IP

192.168.0.1

162

Soluções para a Insegurança

Informática Análise de Segurança

– Método de detecção remota de vulnerabilidades

• Aplicações como o NMAP não tiram conclusões

• Existe outro tipo de aplicação que efectua o levantamento

remoto de recursos, detecta vulnerabilidades, alerta o utilizador

ou lança ataques

– NESSUS (Nessus Security Scanner)

• É uma ferramenta sofisticada que funciona de forma semi-

automática

• Pode ser usada para obter relatórios de segurança informática

• Também pode ser utilizada para “atacar “ uma plataforma

• Incorpora ataques de negação de serviço, teste de exploits, etc

• Facilita muito a actividade dos crackers

163

Soluções para a Insegurança

Informática NESSUS - Até há pouco tempo o Nessus só funcionava no Linux, mas

recentemente foi lançado o Nessus para Windows. É uma

excelente ferramenta designada para testar e descobrir falhas

de segurança (portas, vulnerabilidades, exploits) de uma ou

mais máquinas.

- Estas falhas ou problemas podem ser descobertos por um grupo

hacker, um único hacker, uma empresa de segurança ou pelo

próprio fabricante, podendo ser de maneira acidental ou

proposital, O Nessus ajuda a identificar e resolver estes

problemas antes que alguém tire vantagem destes com

propósitos maliciosos.

164

Soluções para a Insegurança

Informática NESSUS

Alvo: Linux

SuSE

Detectando

Nmap

165

Soluções para a Insegurança

Informática NESSUS

Alvo: MS-

Windows 95

Detectando

Nmpa

166

Soluções para a Insegurança

Informática NESSUS

Alvo: Linux RedHat após instalação

167

Soluções para a Insegurança

Informática NESSUS

Verificação da

pópria máquina

Soluções para a Insegurança

Informática

NESSUS - Report

NESSUS – Report com formato HTML

Soluções para a Insegurança

Informática

170

Soluções para a Insegurança

Informática Ethereal - Além do Nessus, outro aliado importante é o Ethereal, um

poderoso sniffer. Bem, assim como o Nessus ele pode ser

usado tanto para proteger seu sistema quanto para roubar

dados dos vizinhos, uma faca de dois gumes, por isso ele é às

vezes visto como uma "ferramenta hacker" quando na verdade

o objetivo do programa é dar a você o controle sobre o que

entra e sai da sua máquina e a possibilidade de detectar

rapidamente qualquer tipo de trojan, spyware ou acesso não

autorizado.

Ethereal

Soluções para a Insegurança

Informática - Ethereal

Soluções para a Insegurança

Informática - Ethereal

Soluções para a Insegurança

Informática - Ethereal

Soluções para a Insegurança

Informática - Ethereal

Soluções para a Insegurança

Informática - Ethereal

Soluções para a Insegurança

Informática - Ethereal

16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S

6928467:6928467(0) win 8192 <mss 1460> (DF)

16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S

3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF)

16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win

8760 (DF)

16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47)

ack 1 win 8760 (DF)

4500 0057 dd14 4000 fe06 07f0 c885 2201 : E..W..@.......".

ac10 0105 006e 0415 c245 8897 0069 b854 : .....n...E...i.T

5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP

2028 7665 7273 696f 6e20 322e 3533 2920 : (version 2.53)

6174 2063 6170 6962 6120 7374 6172 7469 : at capiba starti

6e67 2e20 200d 0a : ng. ..

16:15:14.680000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 1:12(11)

ack 48 win 8713 (DF)

4500 0033 870c 4000 2006 3c1d ac10 0105 : E..3..@. .<.....

c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E..

5018 2209 4e42 0000 5553 4552 206d 6d6d : P.".NB..USER mmm

6d0d 0a : m..

16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: . ack 12 win

8760 (DF)

Exemplo de Captura: POP3

Início da conexão

TCP (3-way handshake)

Dados do protocolo

passando às claras

Identificação do usuário

passando às claras

Exemplo de captura: POP3 16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33)

ack 12 win 8760 (DF)

4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......".

ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._

5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass

776f 7264 2072 6571 7569 7265 6420 666f : word required fo

7220 6d6d 6d6d 2e0d 0a : r mmmm...

16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17)

ack 81 win 8680 (DF)

4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;.....

c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E..

5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l

6c61 2a67 616d 2a0d 0a : @f1t@..

Senha do usuário

passando às claras

179

Soluções para a Insegurança

Informática Segurança Ativa

– Instalar um sistema de proteção é uma boa solução de

segurança

– Porém a segurança está a tornar-se cada vez mais volátil

– É necessário testar os próprios sistemas de protecção:

• O administrador actua externamente como um hacker

• Monitoriza remotamente as redes que administra

• Efectua periodicamente levantamentos remotos de

recursos

• Realiza testes de penetração e ataques informáticos

“reais”

– Os recursos necessários para a segurança activa são:

• Uma plataforma remota com acesso IP sem restrições

• Uma boa largura de banda (um ISP comercial serve)

180

Soluções para a Insegurança

Informática Segurança Ativa

– Através de monitorização remota

• Confirma se os serviços para o exterior estão

operacionais

• Usa plataforma externa com carácter periódico muito

frequente

– Através de auditoria remota

• Efectua periodicamente um levantamento de recursos

• Usa plataforma externa com baixo carácter periódico

– Através de acções remotas preventivas

• Realiza testes de penetração e ataques informáticos

“reais”

• Usa plataforma externa de forma casuística

– Através da aplicação rápida de actualizações

181

Soluções para a Insegurança Uma Solução a Custo Zero

– Usar um PC actualizado (2 ou mais interfaces de rede)

– Instalar Linux/Windows com funcionalidades de firewall

– Ponto a ser explorado e a pasta compartilhada c$ que fornece direito a administrador do computador sendo assim terá controle completo do computador (Resolução do problema remover o compartilhamento ou deixar somente acesso o usuário administrador).

– Juntar um router IP capaz de efectuar filtragem de pacotes (opcional)

– Instalar e configurar o software de firewall:

• IPTABLES – analisa pacotes IP e gere a

filtragem/encaminhamento

• NETFILTER – permite manipulações complexas a nível de sessão

• SNORT – sistema IDS muito sofisticado e flexível

• NMAP – aplicação de identificação activa (para resposta a

ataques)

• P0F – aplicação de identificação passiva (detecção de sistemas)

• NESSUS – aplicação de teste e validação da configuração

• Proxies de aplicação q. b.

182

Os objetivos da Segurança da

Informação são:

Manutenção dos serviços prestados pela

empresa

Segurança do corpo funcional

Em caso de problemas:

– detecção das causas e origens dos problemas no

menor prazo possível, minimização das

conseqüências dos mesmos, retorno às

condições normais no menor prazo, com o menor

custo e com o menor trauma possíveis

183

Técnicas para Alcançar os Objetivos

da Segurança

Detecção e análise dos pontos vulneráveis

Estabelecimento de políticas de segurança

(técnicas de segurança incluem aspectos do

hardware computacional, rotinas

programadas e procedimentos manuais, bem

como os meios físicos usuais de segurança

local e segurança de pessoal, fechaduras,

chaves e distintivos).

184

Técnicas para Alcançar os

Objectivos da Segurança

Execução das políticas de segurança

Avaliação dos resultados contra os

objetivos traçados

Correção de objetivos e políticas

Gestão de acesso

185

Técnicas para Alcançar os Objetivos

da Segurança

Basicamente, deve ser criado um Plano de Segurança (como evitar problemas) e um Plano de Contingência (o que fazer em caso de problemas).

É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros, guerras, ou a uma simples maionese com salmonela na festa de fim de ano da empresa.

186

Técnicas para Alcançar os Objetivos

da Segurança

Trata-se de descobrir os pontos vulneráveis,

avaliar os riscos, tomar as providências

adequadas e investir o necessário para ter

uma segurança homogênea e suficiente.

Se a empresa fatura 250.000€ por mês não

se pode ter a mesma segurança que uma

empresa que fature 1 ou 2 milhões mensais.

Sempre existirão riscos. O que não se pode

admitir é o descaso com a segurança.

187

Técnicas para Alcançar os Objetivos

da Segurança

Deve-se perguntar:

– Proteger O QUÊ?

– Proteger DE QUEM?

– Proteger A QUE CUSTOS?

– Proteger COM QUE RISCOS?

O axioma da segurança é bastante conhecido de todos, mas é verdadeiro:

– "Uma corrente não é mais forte do que o seu elo mais fraco"

Gerência de Risco

189

Custo de Segurança:

190

Custo Visiveis x Invisiveis:

A maioria dos

ataques

acontece aqui

Produto

Lançado

Vulnerabilidade

descoberta

Fix

disponível

Fix instalado

pelo cliente

Atualização do ambiente Quando as ameaças ocorrem?

Produto

Lançado

Vulnerabilidade

descoberta

Fix

disponível

Fix instalado

pelo cliente

O tempo (em dias)

entre a

disponibilização da

correção e a invasão

tem diminuído,

portanto a aplicação

de “patches” não pode

ser a única defesa em

grandes empresas

Invasão

151 18

0

331

Blaster

Welchia/ Nachi

Nimda

25

SQL Slamm

er

14

Sasser

Atualização do ambiente Tempo para a invasão diminuindo

Atualização do ambiente Worm Zotob

09/08 - A Microsoft publica a correção

11/08 - A Microsoft informa que um ataque está na eminencia de acontecer sobre essa vulnerabilidade

17/08 - CNN e ABC são atacadas

Principais Problemas Encontrados

Computerworld nº 398 de 19 de novembro 20039 – Pesquisa realizada pela revista

americana CIO e Pricewaterhouse Coopers

0

10

20

30

40

50

60

70

Problemas

Orçamento limitado

Pouco tempo

Poucas pessoas

Pouco treinamento

Falta de suporte

Infra-estrutura de TI complexa

Equipe de TI desqualificada

Falta de cooperação entre equipes

Políticas de segurança pouco definidas

Baixa maturidade de ferramentas de TI

Infra-estrutura de TI mal desenhada

Falta de colaboração entre equipes de

TI e Segurança

Atitude de Segurança

Reativa

– Resposta a incidentes;

– Investigações;

– Aplicação de sanções. Preventiva

Planejamento;

Normalização;

Infra-estrutura segura;

Educação e Treinamento;

Auditoria.

Medidas de Segurança Política de Segurança;

Política de utilização da Internet e Correio Eletrônico;

Política de instalação e utilização de softwares;

Plano de Classificação das Informações;

Auditoria;

Análise de Riscos;

Análise de Vulnerabilidades;

Análise da Política de Backup;

Plano de Ação Operacional;

Plano de Contingência;

Capacitação Técnica;

Processo de Conscientização dos Usuários.

Medidas de Segurança Backups;

Antivírus;

Firewall;

Detecção de Intruso (IDS);

Servidor Proxy;

Filtros de Conteúdo;

Sistema de Backup;

Monitoração;

Sistema de Controle de Acesso;

Criptografia Forte;

Certificação Digital;

Teste de Invasão;

Segurança do acesso físico aos locais críticos.

Principais Desafios

Definição de Padrões e Políticas;

Mudar a atitude de segurança;

Demonstrar o retorno sobre o investimento;

Projeto de Segurança da Informação X Projetos ligados ao negócio da empresa;

Fazer com que a Segurança da Informação seja um custo operacional;

Conscientizar os executivos;

Motivar e treinar os usuários;

Capacitar a equipe técnica.

199

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

200

6 - Princípios Básicos na

Segurança

Segurança Privacidade Confiabilidade Integridade

Princípios de Segurança

Confidencialidade (1)

É a manutenção do sigilo das informações ou dos recursos

A violação da confidencialidade ocorre com a revelação não

autorizada da informação ou dos recursos

A prevenção contra as ameaças à confidencialidade em SI pode ser

alcançada com a aplicação de mecanismos de controle de acesso e

com técnicas de criptografia e de segurança de redes

A confidencialidade também se aplica a mera existência de um dado,

que pode ser mais importante do que o dado em si

Todos os mecanismos que impõem confidencialidade requerem

serviços para suportá-los – suposições e confiança

202

Definição de segurança computacional

Confidencialidade (2) Exemplo: criptografia como mecanismo de controle

de acesso A criptografia do extrato de uma conta corrente previne

alguém de lê-lo. Caso o correntista precise de ver o extrato, ele precisa ser decifrado. Apenas o possuidor da chave criptográfica, utilizando o programa de decifração, pode fazê-lo. Entretanto, se outro conseguir ler a chave, a confidencialidade do extrato fica comprometida

O problema da confidencialidade do extrato se reduz agora à confidencialidade da chave criptográfica, que deve ser protegida

Exemplo: proteção da existência de um dado Saber que um indivíduo é um cliente VIP de um banco

pode ser mais importante que saber quais/quantos são os recursos que ele possui aplicados

203

Definição de segurança computacional

Integridade (1)

Refere-se a confiabilidade da informação ou dos recursos

A violação da integridade ocorre pela modificação imprópria ou

não autorizada da informação ou dos recursos

Integridade de dados

Confiabilidade do conteúdo dos dados

Integridade de origem

Confiabilidade da fonte dos dados – autenticação

Sustenta-se na acurácia (medidas para caracterizar a precisão de uma grandeza

medida) e na credibilidade da fonte e na confiança que as pessoas depositam na

informação

204

Definição de segurança computacional

Integridade (2)

Classes de mecanismos para integridade

Mecanismos de prevenção

Objetivam manter a integridade dos dados com o bloqueio de qualquer tentativa não autorizada de modificá-los ou qualquer tentativa de modificá-los por meios não autorizados – acesso e uso não autorizados

Autenticação e controle de acessos adequados, em geral, são eficazes para prevenir o acesso não autorizado

O uso não autorizado requer formas de controle distintas, sendo mais difícil de prevenir

Mecanismos de detecção

Buscam reportar que a integridade dos dados não é mais confiável, em parte ou no todo

A criptografia pode ser usada para detectar violações de integridade

A avaliação da integridade é de difícil realização por basear-se em

suposições sobre a fonte dos dados e da sua confiabilidade

205

Definição de segurança computacional

Integridade (3) Exemplo: corrupção da integridade de origem

Um jornal pode noticiar uma informação obtida de um vazamento no Palácio do Planalto, mas atribuí-la a uma fonte errada. A informação é impressa como recebida (integridade dos dados preservada), mas a fonte é incorreta (corrupção na integridade de origem )

Exemplo: distinção entre acesso e uso não autorizados Num sistema contábil, o acesso não autorizado ocorre

quando alguém quebra a segurança para tentar modificar o dado de uma conta, por exemplo, para quitar um débito, sem autoridade para tal

Agora, quando o contador da empresa tenta apropriar-se de dinheiro desviando-o para contas no exterior e ocultado respectivas transações, então ele está abusando de sua autoridade – embora possa, ele não deve fazê-lo

206

Definição de segurança computacional

Disponibilidade (1)

Refere-se a capacidade de usar a informação ou o recurso desejado

A violação da disponibilidade ocorre com a retenção não autorizada de informações ou recursos computacionais

Ataques de recusa de serviço – denial of service attacks

Usualmente definido em termos de “qualidade de serviço”

Usuários autorizados esperam receber um nível específico de serviço, estabelecido em termos de uma métrica

Mecanismos para prevenção/detecção eficazes são difíceis de implementar e podem ser manipulados

207

Definição de segurança computacional

Disponibilidade (2)

– Exemplo: manipulação de mecanismos de disponibilidade

• Suponha que Ana tenha comprometido o servidor

secundário de um banco, que fornece os saldos das

contas correntes. Quando alguém solicita informações

ao servidor, Ana pode fornecer a informação que

desejar. Caixas validam saques contatando o servidor

primário. Caso ele não obtenha resposta, o servidor

secundário é solicitado. Um cúmplice de Ana impede

que caixas contactem o servidor primário, de modo que

todos eles acessam o servidor secundário. Ana nunca

tem um saque ou cheque recusado, independente do

saldo real em conta

• Note que se o banco tivesse apenas o servidor

primário, este esquema não funcionaria – o caixa não

teria como validar o saque 208

Definição de segurança computacional

209

Princípios Básicos em Segurança

Confidencialidade:

– proteção da informação compartilhada

contra acessos não autorizados; obtém-se

a confidencialidade pelo controle de

acesso (senhas) e controle das operações

individuais de cada utilizador (log).

Autenticidade:

– garantia da identidade dos utilizadores.

210

Princípios Básicos em Segurança

Integridade:

– garantia da veracidade da informação, que

não pode ser corrompida (alterações

acidentais ou não autorizadas).

Disponibilidade:

– prevenção de interrupções na operação de

todo o sistema (hardware + software); uma

quebra do sistema não deve impedir o

acesso aos dados.

211

Resumo para Atingir Segurança:

Pessoas + Processos + Ferramentas

Pessoas:

Executam os

Processos e usam

as Ferramentas

Para atingir os

Objetivos

Ferramentas:

São manipuladas

pelas Pessoas,

seguindo os

Processos para

atingir os

Objetivos

Processos:

Descrevem como as

Pessoas irão usar

as Ferramentas

para atingir os

Objetivos

>

A convergência digital traz impactos:

Cenário Atual

COMPORTAMENTAIS

ÉTICOS

LEGAIS

- Detecção – preventiva ou contingencial (resposta a incidente)

Tradicional – mínimo de VPN, Firewall, Antivirus, Anti-spyware, regras ACL

em reoteador, bloqueio de acessos.

Diferenciada – com uso de Multicamadas como:

- Uso de Virtual Patch;

- Uso de Anti-virus (melhor é o comportamental);

- Uso de Filtro de Conteúdo;

- Uso de IDS e IPS, filtro web e filtro anti-spam;

- Uso de ferramenta de detecção de anomalias no servidor;

- Bloqueio de ataques Buffer Overflow;

- Controle de Aplicativos;

- Scanning ativo e passivo – mapeamento de vulnerabilidades, uso de

metodologia de auditoria.

Situação das Ferramentas de Segurança

Mas é preciso muito

mais do que apenas

tecnologia!

O que precisamos fazer

Gestão do Risco em 3 níveis:

– 1º. Nível – Tecnologias

– 2º. Nível – Processos

– 3º. Nível – Pessoas

Com medidas:

– Corretivas – em caráter emergencial

– Preventivas – em caráter Estrutural

– Orientativas – em caráter Educacional

Elaborando Política de

Segurança da Informação

e o Código de Conduta

do Funcionário

Palestras e

cartilhas

Várias pesquisas apontam o fator humano como a maior ameaça às informações.

Usuário

“o erro humano é sintoma de problemas

profundos da organização”. Dekker

Riscos Atuais – Cenário Vulnerabilidades

Ameaças Digitais

216

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

217

7 - Situações de Insegurança

218

SITUAÇÕES DE INSEGURANÇA

Catástrofe – Incêndio acidental ou intencional

– Inundação de caves ou salas com risco potencial, por fuga dos canos ou por goteiras

– Explosão intencional ou provocada por fuga de gás (em botijas ou encanado)

– Desabamento parcial ou total do prédio

– Impacto de escombros da cobertura (teto de gesso, teto falso ou telhado)

– Grande sobrecarga na rede elétrica ou relâmpagos que causam queima total de equipamentos

219

SITUAÇÕES DE INSEGURANÇA

Problemas ambientais

– Variações térmicas - excesso de calor causa

travamentos e destrói os suportes; excesso de frio

congela fisicamente dispositivos mecânicos, como

discos rígidos.

– Humidade - inimigo potencial de todas os

suportes magnéticos.

– Poeira depositada nas cabeças de leitura e

gravação dos drivers, pode destruir fisicamente

um disquete, uma fita ou um culler.

– Ruído causa stress no pessoal.

220

SITUAÇÕES DE INSEGURANÇA

Problemas ambientais

– Fumo - o fumo do cigarro deposita uma camada

de componentes químicos nas cabeças de leitura

e gravação dos drives, que pode inviabilizar a

utilização de disquetes e fitas; fumos de incêndios

próximos é muito mais perigosa.

– Magnetismo - grande inimigo dos suportes

magnéticos, pode desgravar disquetes, fitas e

discos rígidos.

– Trepidação - pode afrouxar placas e componentes

em geral, além de destruir discos rígidos.

221

SITUAÇÕES DE INSEGURANÇA

Supressão de serviços – Falha de energia elétrica - grande risco potencial,

à medida que paralisa totalmente todas as funções relacionadas à informática.

– Queda nas comunicações - grande risco potencial, pois isola o site do resto do mundo; risco de perda de dados.

– Bloqueio nos equipamentos - problema bastante comum, resolvido com backup de informações e de hardware.

– Bloqueio na rede - isola um ou mais computadores de um mesmo site; risco potencial de perda de dados.

222

SITUAÇÕES DE INSEGURANÇA

Supressão de serviços

– Problemas nos sistemas operacionais - risco

potencialmente explosivo, pois podem

comprometer a integridade de todos os dados do

sistema e até mesmo inviabilizar a operação;

eliminam a confiança da equipa.

– Problemas nos sistemas corporativos - grande

risco, causam grande transtorno e perdas de

dados.

– Bloqueio de sistema - igualmente um grande

risco.

223

SITUAÇÕES DE INSEGURANÇA

Comportamento anti-social – Paralisações e greves - problema contornável se houver

condução política adequada.

– Invasões - altíssimo risco de destruição acidental ou intencional.

– Hacker - Pessoa que tenta aceder a sistemas sem autorização, usando técnicas próprias ou não, no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objetivos da ação, pode ser chamado Cracker, Lammer ou BlackHat

• indivíduo que conhece profundamente um computador e um sistema operacional e invade o site sem finalidade destrutiva.

– Alcoolismo e drogas - risco de comportamento anómalo de funcionários, com conseqüências imprevisíveis.

224

SITUAÇÕES DE INSEGURANÇA

Comportamento anti-social – Disputas exacerbadas - entre pessoas podem

levar à sabotagem e alteração ou destruição de dados ou de cópias de segurança.

– Falta de espírito de equipa - falta de coordenação, onde cada funcionário trabalha individualmente; risco de omissão ou duplicação de procedimentos.

– Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir dados de outro funcionário.

– Rixas - entre funcionários, setores, administração, diretorias - mesmo caso do item anterior, porém de conseqüências mais intensas.

225

SITUAÇÕES DE INSEGURANÇA

Ação criminosa

– Furtos e roubos - conseqüências imprevisíveis,

podem inviabilizar completamente os negócios da

empresa.

– Fraudes - modificação de dados, com vantagens

para o elemento agressor.

– Sabotagem - modificação deliberada de qualquer

ativo da empresa.

– Terrorismo - de conseqüências imprevisíveis,

pode causar mortes, a destruição total dos

negócios ou de mesmo de toda a empresa.

226

SITUAÇÕES DE INSEGURANÇA

Ação criminosa

– Atentados - uso de explosivos, com as mesmas

conseqüências do item anterior.

– Sequestros - ação contra pessoas que tenham

alguma informação.

– Espionagem industrial - captação não autorizada

de software, dados ou comunicação.

– Cracker - indivíduo que conhece profundamente

um computador e um sistema operacional e

invade o site com finalidade destrutiva.

227

SITUAÇÕES DE INSEGURANÇA

Incidentes variados – Erros de utilizadores - de conseqüências

imprevisíveis, desde problemas insignificantes até a perda de uma faturação inteira; erros de utilizadores costumam contaminar as cópias de segurança (backup) quando não detectados a tempo.

– Erros em backups - risco sério de perda de dados; o backup sempre deve ser verificado.

– Uso inadequado dos sistemas - normalmente ocasionado por falta de treino, falta de documentação adequada do sistema ou falta de capacidade de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item Erros de utilizadores.

228

SITUAÇÕES DE INSEGURANÇA

Incidentes variados

– Manipulação errada de ficheiros - costuma causar perda de ficheiros e pode contaminar as cópias de segurança.

– Treino insuficiente - inevitavelmente causa erros e uso inadequado.

– Ausência/demissão de funcionário - é problemático se a pessoa ausente for a única que conhece determinados procedimentos.

– Stress/sobrecarga de trabalho - uma pessoa sobrecarregada é mais propensa a cometer erros e adoptar atitudes anti-sociais.

– Equipa de limpeza - deve receber o treino adequado sobre segurança.

229

SITUAÇÕES DE INSEGURANÇA

Contaminação eletrônica

– Vírus - programa que insere uma cópia sua em

outros programas executáveis ou no sector de

boot; os vírus replicam-se através da execução do

programa infectado.

– Bactéria - programa que se reproduz a si próprio e

vai consumindo recursos do processador e

memória.

– Verme - programa que se reproduz através de

redes.

230

SITUAÇÕES DE INSEGURANÇA

Contaminação eletrônica

– Cavalo de Tróia - programa aparentemente inofensivo e útil, mas que contém um código oculto indesejável ou danoso.

– Ameba - utilizador que, sem ter conhecimento para tanto, mexe na configuração do computador ou do software, causando problemas, perda de dados, encravamento da máquina, etc.

– Falhas na segurança dos serviços - os serviços da Internet são potencialmente sujeitos a falhas de segurança, basicamente devido ao fato de o UNIX ter sido construído em ambiente universitário, que visava um processamento cooperativo e não a segurança; além disto, o UNIX é muito bem conhecido por hackers e crackers.

Segurança de Redes sem Fio - Warchalking

232

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

233

8 - Prejuízos

234

OS PREJUÍZOS

A Informática é o centro nevrálgico da empresa. Qualquer pequeno problema no(s) servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários ou mesmo todos os departamentos da empresa. Quanto maior o grau de integração dos sistemas, quanto maior o volume e a complexidade dos negócios, maior será a dependência em relação à Informática.

Graus de severidade. – Podemos classificar os prejuízos decorrentes de problemas

com segurança em graus de severidade, conforme a abrangência dos danos e as providências tomadas para retornar à normalidade:

235

Graus de Severidade

INSIGNIFICANTES – casos em que o problema ocorre, é detectado e corrigido

sem maiores repercussões. São problemas isolados, sem nenhuma repercussão na estrutura computacional da empresa.

– O maior prejuízo é a despesa com a mão de obra alocada, ou algum suprimento desperdiçado.

– Um exemplo é a presença de vírus num computador, que é prontamente detectado e exterminado. Certamente é necessário um grande investimento em segurança para que os problemas possam ser prontamente resolvidos e os prejuízos minimizados;

236

Graus de Severidade

PEQUENOS – O problema ocorre, existindo uma repercussão mínima na

estrutura computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos dados corporativos, a recuperação via backup da posição anterior e a necessidade de redigitar a movimentação de um dia.

– Ou, a destruição física, acidental ou propositada, de um servidor corporativo, com a necessidade de substituição rapidamente, mas sem perda dos dados.

– Os prejuízos são restritos ao âmbito da empresa, sem repercussões nos seus negócios e sem interferências com seus clientes;

237

Graus de Severidade

MÉDIOS

– o problema ocorre, provoca repercussão nos

negócios da empresa e interfere com os seus

clientes, mas a situação consegue ser resolvida

de maneira satisfatória, normalmente com um

grande esforço e com maior ou menor desgaste

interno e externo da empresa. Exemplos: erros

graves no faturação, perda de dados sem backup;

238

Graus de Severidade

GRANDES

– repercussões irreversíveis de caráter interno ou

externo, com perda total de dados, prejuízo

financeiro irrecuperável, perda de clientes, perda

de imagem e posição no mercado;

CATASTRÓFICOS

– prejuízos irrecuperáveis, que podem dar origem a

processos judiciais e falência da empresa

239

Prejuízos em Função do Tempo

Quando ocorre algum problema que

provoque uma paralisação, os prejuízos

menos importantes são percebidos

imediatamente.

Outros, normalmente os maiores, somente

serão percebidos posteriormente, e será

muito difícil, ou mesmo impossível, repará-

los.

240

Prejuízos em Função do Tempo

Problemas de segurança com graus de severidade INSIGNIFICANTE e PEQUENO somente causam prejuízos imediatos, tais como: – Paralisação das atividades normais da empresa

– Danos materiais, variáveis conforme o problema ocorrido

– Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos, normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes do erro

– Atritos internos em função da responsabilização pelo erro

241

Prejuízos em Função do Tempo

Normalmente problemas com grau de severidade MÉDIO causam poucos prejuízos a médio e longo prazos, que são: – Desvio nos objetivos da empresa

– Perda de mercado

– Perda de imagem

– Perda de credibilidade

– Desânimo e perda de funcionários

– Atritos internos extremamente sérios e atritos externos em função da responsabilização pelo erro

242

Prejuízos em Função do Tempo

Problemas com grau de severidade

GRANDE e CATASTRÓFICO

certamente causam os supra citados

prejuízos a médio e longo prazo,

podendo causar o encerramento das

atividades da empresa e pendências

com a Justiça para seus diretores e

funcionários.

243

Prejuízos em Função do Tempo

A queda na eficiência dos negócios da empresa após

um acidente sério com informática é drástica, como

indica o gráfico abaixo. • ordenadas, temos a eficiência da empresa;

• abcissas, o intervalo em dias após o evento.

244

Custos da Reposição da

Informações

Podem ocorrer prejuízos altíssimos em caso de problemas sérios, considerando, entre outros, alocação de recursos humanos adicionais, procura de documentos, redigitação das informações, reconstrução do local e reposição de hardware e software, multas, etc.

245

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

246

9 - Modelo Aplicado à Segurança

247

Modelo aplicado à segurança

Definição de

Políticas

Ações

Concretas

Gestão

Operacional

Controle

Sistemático

248

Implementação de um SI

IMPLANTAR

PROJETAR

ANALISAR

MANTER

INVESTIGAR

Desenvolvendo soluções

em sistemas de

informação

249

Implementando um SI Compreender o problema

– Determinar se existe um problema ou oportunidades empresariais.

– Realizar um estudo de viabilidade para determinar se um sistema de informação novo ou aprimorado é uma solução viável.

– Desenvolver um plano de gerenciamento de projeto e obter aprovação da administração.

Desenvolver uma solução

– Analisar as necessidades de informação dos usuários finais, o ambiente organizacional e todo sistema atualmente em uso.

– Desenvolver os requisitos funcionais de um sistema que possa atender as necessidades dos usuários finais.

– Desenvolver especificações para os recursos de hardware, software, pessoal, rede e dados e os produtos de informação que atenderão os requisitos funcionais do sistema proposto.

Implantar a Solução

– Adquirir (ou desenvolver) hardware software.

– Testar o sistema treinar pessoal para operá-lo e utilizá-lo.

– Converter para o novo sistema.

– Utilizar um processo de revisão pós-implantação para monitorar, avaliar e modificar o sistema conforme for necessário.

250

Implementando um SI Compreender o problema

– Determinar se existe um problema ou oportunidades empresariais.

– Realizar um estudo de viabilidade para determinar se um sistema de informação novo ou aprimorado é uma solução viável.

– Desenvolver um plano de gerenciamento de projeto e obter aprovação da administração.

Desenvolver uma solução

– Analisar as necessidades de informação dos usuários finais, o ambiente organizacional e todo sistema atualmente em uso.

– Desenvolver os requisitos funcionais de um sistema que possa atender as necessidades dos usuários finais.

– Desenvolver especificações para os recursos de hardware, software, pessoal, rede e dados e os produtos de informação que atenderão os requisitos funcionais do sistema proposto.

Implantar a Solução

– Adquirir (ou desenvolver) hardware software.

– Testar o sistema treinar pessoal para operá-lo e utilizá-lo.

– Converter para o novo sistema.

– Utilizar um processo de revisão pós-implantação para monitorar, avaliar e modificar o sistema conforme for necessário.

Coleta de Dados

251

Coleta de dados para implementar um sistema de informação

– Entrevistas com funcionários,clientes e gerentes.

– Questionários para os devidos usuários finais na organização.

– Observação pessoal, gravação em vídeo ou envolvimento nas atividades de trabalho dos usuários finais.

– Exame de documentos, relatórios, manuais de procedimentos e ouros registros.

– Desenvolvimentos, simulação e observação de um modelo das atividades de trabalho

252

Técnicas de Segurança

Definição de políticas de segurança – Planos, políticas e procedimentos de segurança

– Análise do risco

– Desenho de soluções de segurança

Ações concretas – Gestão e controlo de acesso

– Detecção de intrusão

– Autenticação

– Certificados digitais

– . . .

253

Técnicas de Segurança

Gestão Operacional

– Gestão, manutenção e controlo (dia-a-dia da

segurança)

– Tratamento de vulnerabilidades

– Análise de logs de Firewall e Internet

Controlo Sistemático

– Análise externa de vulnerabilidades

– Testes de intrusão

– Análise de incidentes

– Auditorias (funcional, interna, de mail, ...)

254

Ciclo de Vida de Segurança O que precisa

ser protegido?

Como proteger? Simulação de

um ataque

Qual é probabilidade

de um ataque?

Qual prejuízo, se

ataque sucedido?

Qual é nível da

proteção?

255

Postura frente a Segurança

Os “4 Ps”

Paranóia

Prudência

Permissividade

Promiscuidade

O bom senso coloca o administrador em um ponto próximo a prudência. É lógico que dependo do que está se protegendo, pois a proteção de um Home Bank coloca o administrador exatamente sobre o primeiro “P”

Posturas de Segurança

Falar em um chat que alguem cometeu algum crime (ex. – ele é um

ladrão...)

Calúnia Art.138 do C.P.

Dar forward para várias pessoas de um boato eletrônico Difamação Art.139 do C.P.

Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda,

feia, vaca,...)

Injúria Art.140 do C.P.

Enviar um email dizendo que vai pegar a pessoa Ameaça Art.147 do C.P.

Enviar um email para terceiros com informação considerada confidencial Divulgação de segredo Art.153 do C.P.

Enviar um virus que destrua equipamento ou conteudos Dano Art.163 do C.P.

Copiar um conteudo e não mencionar a fonte, baixar MP3 Violação ao direito autoral Art.184 do C.P.

Criar uma Comunidade Online que fale sobre pessoas e religiões Escárnio por motivo de religião Art.208 do C.P.

Acessar sites pornográficos Favorecimento da prostituição Art.228 do C.P.

Criar uma Comunidade para ensinar como fazer “um gato” Apologia de crime ou criminoso Art.287 do C.P.

Enviar email com remetente falso (caso comum de spam) Falsa identidade Art.307 do C.P.

Fazer cadastro com nome falso em uma loja virtual Inserção de dados falsos em sistema Art.313-A do C.P.

Entrar na rede da empresa ou de concorrente e mudar informações

(mesmo que com uso de um software)

Adulterar dados em sistema de

informações

Art.313-B do C.P.

Se você recebeu um spam e resolve devolver com um vírus, ou com mais

spam

Exercício arbitrário das próprias

razões

Art.345 do C.P.

Participar do Cassino Online Jogo de azar Art.50 da L.C.P.

Falar em um Chat que alguém é isso ou aquilo por sua cor Preconceito ou Discriminação Raça-

Cor-Etnia

Art.20 da Lei

7.716/89

Ver ou enviar fotos de crianças nuas online (cuidado com as fotos de seus

filhos)

Pedofilia Art.247 da Lei

8.069/90

Usar logomarca de empresa em um link na pagina da internet, em uma

comunidade, em um material, sem autorização do titular, no todo ou

em parte.

Crime contra a propriedade industrial Art.195 da Lei

9.279/96

Emprega meio fraudulento, para desviar, clientela de outrem, exemplo,

uso da marca do concorrente como palavra-chave ou link

patrocinado em buscador

Crime de Concorrência Desleal Art.195 da Lei

9.279/96

Usar copia de software sem ter a licença para tanto Crimes Contra Software “Pirataria” Art.12 da Lei

9.609/98

QUE ATIRE O PRIMEIRO MOUSE

QUEM NUNCA TIVER COMETIDO

NENHUM DESSES

PECADINHOS DIGITAIS

“...mas todo mundo faz...” Esta é nossa maior vulnerabilidade hoje.

Não exime de responsabilidade legal.

Estudo de Cenários em SI

Que cuidados especiais devo tomar?

Nunca divulgue sua senha!

Não deixe outra pessoa usar seu computador!

Evite usar o computador de outra pessoa!

Não divulgue informações confidenciais!

Não crie comunidades com o nome da empresa

nem para tratar de assuntos internos!

Não leia mensagens de origem desconhecida!

Não envie ou passe para frente boatos eletrônicos!

Tenha BOM SENSO e BOA-FÉ!

ESTEJA ATENTO À SEGURANÇA DA INFORMAÇÃO NO AMBIENTE DE TRABALHO!

Manual do Motorista Virtual – passar a regra do jogo no jogo

Identidade

Carteira de habilitação Senhas, logs de acesso, nome de usuário

Capacitação técnica

Auto-escola Treinamentos

Conhecimento das normas

Código Nacional de Trânsito Política de Segurança da Informação

Monitoramento

Radar: detecção de infrações Firewall, IDS, controles de rede

Sinalização

Semáforos, placas, faixa de pedestres Avisos de sistema, rodapé de e-mail

Punições para infrações

Multas, suspensão de carta, apreensão Punições previstas na Política, advertência

Polícia e Perícia

Investigação de acidentes Jurídico e Delegacia de Crimes Eletrônicos

Ferramentas de Proteção

Cinto de segurança, air bag, alarme Antivírus, firewall, controle de acesso,

câmeras

Atualização

Troca de óleo e pneu, abastecimento Atualização de SO, correção de falhas

Mesmo com todos os itens de

segurança em dia, se o usuário

fizer mau uso da ferramenta (carro

ou computador) surtirão

conseqüências legais e punições!

EDUCAÇÃO DO USUÁRIO É ESSENCIAL

JOGO DOS ERROS

262

Alguns sites de forum: http://www.istf.com.br/vb/seguranca-da-informacao/

http://forum.clubedohardware.com.br/seguranca-informacao/f65?s=32a8887928d00209bba79a7e7dd1c944&amp;

http://www.forum-seguranca.com/

http://criptografia.forumeiros.com/

http://info.abril.com.br/forum-antigo/forum.php?topico=144893

http://sbseg2009.inf.ufsm.br/sbseg2009/

http://asti.zuqueto.com/viewforum.php?f=33

http://www.forumweb.com.br/foruns/index.php?/forum/336-seguranca-da-informacao/

http://forum.ninjaspy.org/index.php?/forum/48-seguranca-da-informacao/

http://lucianomvp.spaces.live.com/blog/cns!D8AFA39404433738!2533.entry

http://cwconnect.computerworld.com.br/groups/seguranca-da-informacao/forum/topic/4654

http://angryhacker.com.br/forum/viewforum.php?f=3

http://www.linhadefensiva.org

http://tecnologia.uol.com.br/seguranca/

http://g1.globo.com/g1/tecnologia/

263

Indice

1. Introdução

2. Histórico

3. Tipos de Seguranças

4. Objetivos da Segurança

5. Introdução a Ataques

6. Princípios Básicos na Segurança

7. Situações de Insegurança

8. Prejuízos

9. Modelo Aplicado à Segurança

10. Normas

Surgimento de Normas NBR / ISO IEC 17799 Breve Histórico ISSO 17799 ISO 17799 – Segurança Organizacional ISO 17799 – Segurança de Pessoas ISO 17799 – Segurança Física e de Ambiente ISO 17799 – Controle de Acesso ISO 17799 – Controle de Acesso à Aplicações ISO 17799 – Plano de Negócios Vantagem das Normas

264

10 – Normas de Segurança

265

Normas de Segurança

O que é uma norma?

Pq precisamos de uma norma?

O que é uma norma de segurança?

Em que consiste uma norma de

segurança?

Quando se pretende escrever uma

política de segurança, como a norma

pode ajudar?

266

Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.

Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria”. A versão final deste documento foi impresso em dezembro de 1985.

Surgimento de Normas

267

O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.

O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.

Surgimento de Normas

268

Este esforço foi liderado pela "International

Organization for Standardization (ISO). No

final do ano de 2000, o primeiro resultado

desse esforço foi apresentado, que é a

norma internacional de Segurança da

Informação "ISO/IEC-17799:2000", a qual já

possui uma versão aplicada aos países de

língua portuguesa, denominada "NBR

ISO/IEC-17799“ .

Surgimento de Normas

269

NBR/ISO IEC 17799

A ISO 17799 é um conjunto de

recomendações para gestão da Segurança

da Informação;

Providencia uma base comum para o

desenvolvimento de normas de segurança

organizacional e das práticas efetivas de

gestão da segurança;

Leva em consideração tecnologia,

processos e pessoas. Esta norma é

publicada no Brasil pela ABNT com o código

NBR ISO 17799.

270

Breve histórico da ISO 17799

A Associação Britânica de Normas tinha 2

normas referentes à segurança de sistemas

de informação: a BS 7799-1 e a BS 7799-2.

A BS 7799-1 foi submetida ao ISO e

aprovada (com problemas), vindo a ser a

ISO 17799.

A BS 7799-2 se referia especialmente ao

processo de certificação do aspecto de

segurança em organizações e não foi

submetida para o ISO.

271

Componentes do ISO 17799

1. Objetivo da norma

2. Termos e definições

3. Política de segurança

4. Segurança organizacional

5. Classificação e controle dos ativos de informação

6. Segurança de pessoas

7. Segurança física e do ambiente

8. Gerenciamento de operações e comunicações

9. Controle de acesso

10. Desenvolvimento de sistemas.

11. Gestão de continuidade de negócios

12. Conformidade

OBJETIVO

Esta norma fornece recomendações para gestão da

segurança da informação para uso por aqueles que são

responsáveis pela introdução, implementação ou

manutenção da segurança em suas organizações.

PONTOS RELATADOS PELA NORMA.

- Política de Segurança de Informação.

- Segurança Organizacional.

- Classificação dos Ativos da Organização.

- Segurança em Pessoas.

- Segurança Física e do Ambiente.

- Gerenciamento das operações e comunicações.

- Controle de Acesso

- Desenvolvimento e Manutenção de Sistemas.

- Gestão da Continuidade de Nogócio.

- Conformidade

274

ISO 17799 – Segurança Organizacional

Infraestrutura de segurança: indica que

uma estrutura organizacional deve ser criada

para iniciar e implementar as medidas de

segurança.

Segurança no acesso de prestadores de

serviço: garantir a segurança dos ativos

acessados por prestadores de serviços.

Segurança envolvendo serviços

terceirizados: deve-se incluir nos contratos

de terceirização de serviços computacionais

cláusulas para segurança

275

ISO 17799 – Segurança de Pessoas Segurança na definição e Recursos de Trabalho:

Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.

Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança.

Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas.

Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.

276

ISO 17799 – Segurança Física e de

Ambiente

Áreas de segurança: prevenir acesso não

autorizado, dano e interferência nas instalações

físicas. Isso inclui: definir um perímetro de segurança,

controles de entrada física, etc .

Segurança de equipamento: convém proteger

equipamentos fisicamente de ameaças e perigos

ambientais. Isso inclui roubo, fogo, e outros perigos

ambientais, proteção contra falta de energia,

segurança do cabeamento, definição de política de

manutenção, proteção a equipamentos fora das

instalações .

Controles gerais: Por exemplo proteção de tela com

senha para evitar que informação fique visível em

tela, deve-se ter uma política quanto a deixar papéis

na impressora por muito tempo, etc.

277

ISO 17799 – Controle de Acesso

Gerenciamento de acesso dos usuários:

– Registro do usuário: ID única para cada usuário, pedir

assinatura em termo de responsabilidade, remover

usuário assim que o funcionário sair da empresa .

– Gerenciamento de privilégios: Basicamente, se

recomenda que usuários tenham apenas os privilégios

necessários para fazer seu trabalho.

– Gerenciamento de senhas: termo de responsabilidade

deve afirmar que senha é secreta e não deve ser

divulgada, senhas temporárias devem funcionar

apenas uma vez.

– Análise crítica dos direitos de acesso do usuário:

deve-se analisar os direitos de acesso dos usuários

com freqüência de 6 meses ou menos.

278

ISO 17799 – Controle de Acesso

Responsabilidades dos usuários:

– Senhas: segundo norma, usuário deve

zelar pela sua senha e criar uma senha

considerada aceitável (mínimo de 6

caracteres).

– Equipamentos sem monitoração: Usuários

deve tomar os cuidados necessários ao

deixar um equipamento sem

monitoramento, com seções abertas.

279

ISO 17799 – Controle de Acesso

Controle de Acesso ao SO:

– Controle de acesso ao sistema operacional:

Identificação automática de terminal: nos casos onde

deve-se conhecer onde um usuário efetua logon.

– Procedimentos de entrada no sistema (log-on).

Sugestões como: limitar o número de tentativas erradas

para o log-on e não fornecer ajuda no processo de log-on,

entre outros.

– Identificação de usuários: a não ser em casos

excepcionais cada usuário deve ter apenas um ID.

Considerar outras tecnologias de identificação e

autenticação: smart cards, autenticação biométrica.

– Sistema de Gerenciamento de Senhas: Contém os

atributos desejáveis para sistema que lê, armazena e

verifica senhas.

280

ISO 17799 – Controle de Acesso às Aplicações

Controle de Acesso às aplicações:

– Registro de Eventos: Trilha de auditoria registrando

exceções e outros eventos de segurança devem ser

armazenados por um tempo adequado.

– Monitoração do Uso do Sistema: Os procedimentos

do monitoração do uso do sistema devem ser

estabelecidos. Uma análise crítica dos logs deve ser

feita de forma periódica.

– Sincronização dos Relógios: Para garantir a

exatidão dos registros de auditoria.

281

ISO 17799 – Continuidade de Negócios

Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc.

Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.

282

ISO 17799 – Componentes do Plano de

Continuidade de Negócios

condições para a ativação do plano;

procedimentos de emergência a serem tomados;

procedimentos de recuperação para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros;

procedimentos de recuperação quando do estabelecimento das operações;

programação de manutenção que especifique quando e como o plano deverá ser testado;

desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido;

designação de responsabilidades.

283

ISO 17799 – Conformidade

Conformidade com Requisitos Legais:

Para evitar a violação de qualquer lei,

estatuto, regulamentação ou

obrigações contratuais. Evitar a

violação de Direitos Autorais dos

aplicativos.

Análise Crítica da Política de

Segurança e da Conformidade

Técnica.

Considerações referentes Auditoria

de Sistemas.

284

BS 7799-2

O BS 7799-2 é a segunda parte do

padrão de segurança inglês cuja

primeira parte virou o ISO 17799.

O BS 7799-2 fala sobre certificação de

segurança de organizações; isto é,

define quando e como se pode dizer

que uma organização segue todo ou

parte do ISO 17799 (na verdade do BS

7799).

285

PE

SS

OA

L

INS

TA

LA

ÇÕ

ES

TE

CN

OL

OG

IA

DA

DO

S

SIS

TE

MA

S

COBIT – Control OBjectives for Information and related

Technology

286

FE

RR

AM

EN

TA

S

TR

EIN

AM

EN

TO

SIS

TE

MA

NO

RM

AT

IVO

ORGANIZAÇÃO DA SEGURANÇA DE TI

USUÁRIOS DE TI

PARCEIROS DE NEGÓCIO

CO

BIT

Ob

jeti

vo

s d

e S

eg

ura

nça

ATIVIDADES

DE TI

Controles

Detalhados

PROCESSOS

DE TI

Controle

Macros

DOMÍNIOS

DE TI

DA

DO

S

SIS

TE

MA

S

TE

CN

OL

OG

IA

INS

TA

LA

ÇÕ

ES

NBR ISO/IEC 17799 COBIT / COSO

COSO

Objetivos de

Segurança PE

SS

OA

S

Vantagens das Normas

Conformidade com regras dos governos

para o gerenciamento de riscos

Maior proteção das informações

confidenciais da organização

Redução no risco de ataques de hackers

Recuperação de ataques mais fácil e

rápidas

Metodologia estruturada de segurança que

está alcançando reconhecimento

internacional

“Se você não pode proteger o que tem, você não tem nada.” Anônimo

289

Fim da Ementa.

Reflexão: “Os computadores são incrivelmente rápidos, precisos e burros; os

homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu

poder ultrapassa os limites da Imaginação” – Albert Einstein

Dúvidas