Segurança em Redes:
Introdução
Prof. Eduardo Maroñas Monks
Sumário
Informação
Evolução dos sistemas de informação
Segurança da informação
Padrão ISO/IEC INTERNACIONAL 17799 Tecnologia da Informação – Código de Prática
para Gestão da Segurança de Informações
Exemplos e estudo de caso
Referências
Informação
Importância da Informação
•
A informação é elemento essencial para
todos os processos de negócio da
organização, sendo, portanto, um bem ou
ativo de grande valor.
• Os sistemas computacionais são os
responsáveis por garantir o armazenamento,
a distribuição e a integridade da informação.
Segurança em Redes: Introdução
3
Evolução dos Sistemas de Informação
Anos 70
• Ambiente homogêneo
• Controles centralizados no mainframe
• Usuários com direitos restritos pelo
Administrador central
• Distribuição restrita a
área de processamento
de dados
Segurança em Redes: Introdução
4
Evolução dos Sistemas de Informação
Anos 80
• Ambiente menos homogêneo
• Controle centralizado no mainframe e
em alguns servidores
• Usuários com direitos restritos pelos
administradores locais
• Distribuição restrita a
área de processamento
de dados, financeira,
etc.
Segurança em Redes: Introdução
5
Evolução dos Sistemas de Informação
Anos 90/00/10
•
•
•
•
Ambiente heterogêneo
Controle descentralizado
Usuários com direitos restritos pelo administrador
Distribuição em todas as áreas da Empresa
• Serviços informatizados acessíveis
ao público
Segurança em Redes: Introdução
6
Segurança da Informação
Conceito de Segurança
Disponibilidade
Garantia de que o serviço esteja disponível e utilizável sob
demanda por uma entidade autorizada do sistema
Integridade
Garantia de que os dados recebidos estão exatamente como foram
enviados por uma entidade autorizada
Confidencialidade
Proteção dos dados contra divulgação não autorizada
Autenticação
Garantia de que a entidade se comunicando é aquela que ela afirma
ser
Controle de Acesso
Impedimento de uso não autorizado de um recurso
Irretratabilidade
Oferece proteção contra negação, por parte de uma das entidades
envolvidas em uma comunicação, de ter participado de toda ou
parte da comunicação
Segurança em Redes: Introdução
7
Segurança da Informação
Disponibilidade
Propriedade que causa maior impacto ao
usuário
Medido
em %
Utilização de no-breaks, entretanto:
- A falha de energia pode durar mais do que
99,999%
representam 5 minutos de
suportam
as baterias
- O no-break pode apresentar
indisponibilidade
no problema
ano!!!
- A faxineira pode desplugar o no-break da
Os tomada
serviços de rede devem permanecer
- O no-break pode ter um bug no seu software...
disponíveis SEMPRE, entretanto:
Impossibilidade devido a falhas de
hardware, atualizações de software,
bugs, ataques de negação de serviço,
falhas na alimentação elétrica,
problemas operacionais e etc...
Solução: REDUNDÂNCIA
Segurança em Redes: Introdução
8
Segurança da Informação
Integridade
Propriedade garantida nos sistemas de
arquivos, bancos de dados e nos
protocolos de rede
Utilização de códigos de verificação
(checksum) em arquivos e pacotes de
rede
Exemplo:
MD5 Checksum
CentOS-4.4-i386-LiveCD.iso 747c9e33a10fdbf5919d9fd188ab7d23
Segurança em Redes: Introdução
9
Segurança da Informação
Confidencialidade
Uso de criptografia
Banco de dados (senhas)
Protocolos seguros: SSH, HTTPS,
SMTPS...
Controle de permissões de acesso aos
dados
Segurança em Redes: Introdução
10
Problemas mais comuns
Fator humano
Usuários despreparados/maliciosos
Administradores despreparados
Desenvolvedores despreparados
Redes e sistemas heterogêneos (complexidade)
Desrespeito a política de segurança da
instituição
Infraestrutura de TI
Ameaças externas
Vírus/SPAM
P2P
Crackers...
Segurança em Redes: Introdução
11
Soluções mais comuns
Treinamento de usuários
Auditoria em sistemas e aplicações
Utilização de Firewall, Web Proxy, Filtragem de
E-mail, Detectores de Intrusão, Redundância e
etc...
Atualização dos sistemas operacionais e
aplicações
Definição e aplicação de uma política de
segurança
Adequação da infraestrutura de TI conforme os
padrões (climatização, no-breaks, geradores,
cabeamento estruturado,...)
Estabelecimento de rotinas de backup dos
sistemas
e dados
Segurança
em Redes: Introdução
12
ISO/IEC 17799
Terminologia
• Ativo: qualquer elemento que tenha valor para uma
organização
• Valor do Ativo: quantificação de perda de
determinado ativo quando esse tem sua
confidencialidade, integridade ou disponibilidade
afetadas
• Vulnerabilidade: falha no ambiente que ameaçar
algum ativo
• Ameaça: possibilidade de exploração de uma
vulnerabilidade
• Impacto: resultado da concretização de uma
ameaça contra um ativo
Segurança em Redes: Introdução
13
ISO/IEC 17799
• O que é segurança da informação?
– Informações são ativos que, como qualquer outro ativo
importante para os negócios, possuem valor para uma
organização e consequentemente precisam ser protegidos
adequadamente. A segurança de informações protege as
informações contra uma ampla gama de ameaças, para
assegurar a continuidade dos negócios, minimizar prejuízos e
A segurança
é obtida
através da
maximizar
o retornoda
deinformação
investimentos
e oportunidades
comerciais.
implementação de um conjunto adequado de
controles, que podem ser políticas, práticas,
– As informações
podem estruturas
existir sob organizacionais
muitas formas. Podem
ser
procedimentos,
e
impressas
ou escritas
em papel,
armazenadas
eletronicamente,
funções
de software.
Esses
controles precisam
ser
enviadas pelo correio ou usando meios eletrônicos, mostradas
estabelecidos
assegurar Qualquer
que os objetivos
em filmes,
ou faladas para
em conversas.
que sejade
a forma
específicos
sejam
que as segurança
informações
assumam,da
ouorganização
os meios pelos
quais sejam
compartilhadas
ou armazenadas, elas devem ser sempre
alcançados.
protegidas adequadamente.
Fonte: PADRÃO ISO/IEC INTERNACIONAL 17799 - Tecnologia da Informação – Código de Prática para Gestão da Segurança
de Informações
Segurança em Redes: Introdução
14
ISO/IEC 17799
Objetivo da Segurança da
Informação
• “A informação certa comunicada as
pessoas certas (na hora certa) é de
importância vital para a empresa.”
Segurança em Redes: Introdução
15
ISO/IEC 17799
Ameaças a Confidencialidade
– Hackers
• Um hacker é um indivíduo que tem a capacidade de suplantar os
controles de segurança e acessa dados e informações que ele não
deveria ter autorização para o fazer.
– Usuários não-autorizados
• Usuários que obtém acesso ao sistema não respeitando as regras de
segurança estabelecidas ou se passando por outro usuário.
– Cópias e downloads não protegidos
• Cópias ou downloads de arquivos de ambiente protegidos para
ambientes não-seguros (públicos) ou em mídia removível.
– Malware
• Vírus, worms e softwares de objetivo malicioso.
– Funções de teste em software (Trapdoors)
• Durante a fase de desenvolvimento do sistema, os desenvolvedores
criam atalhos para permitir a agilidade a funções sem a necessidade
de autenticação ou com credenciais fáceis de burlar. Estes
procedimentos podem ficar esquecidos ao final e permanecerem no
produto final.
Segurança em Redes: Introdução
16
ISO/IEC 17799
Ameaças a Disponibilidade
– A disponibilidade pode ser afetada por variados eventos
que podem ser originados de fatores humanos ou nãohumanos. Além disto, os eventos humanos podem se
dividir em intencionais ou não intencionais.
Segurança em Redes: Introdução
17
ISO/IEC 17799
Autenticação
•
Autenticação é o processo pelo qual os sistemas de informação se
asseguram que você é quem você está dizendo ser.
• Métodos de realizar autenticação são:
– Usuário e senha. O sistema compara o usuário e a senha fornecidas com
o usuários e a senhas armazenada. Se o usuário e a senha coincidirem o
usuário é autêntico.
– Cartões Magnéticos. Possuem a identificação do usuário de
forma completa ou existe a necessidade de fornecer dados junto
com cartão.
– Certificado Digital. São dados criptografados que contêm
informações sobre o dono, o criador, a geração e data de
expiração e outro dados que identificam unicamente o usuário.
– Token de identificação. Dispositivo eletrônico que gera senhas
aleatórias sincronizadas com um sistema centralizado.
– Biometria. Varredores de retinas e leitores de digitais. Algumas
partes do corpo possuem propriedades que são consideradas
únicas o suficiente para permitir a autenticação em sistemas
computacionais.
•
Para um ambiente com necessidade de segurança reforçada existe
a possibilidade de combinar diversos métodos de autenticação.
Segurança em Redes: Introdução
18
ISO/IEC 17799
Autorização
•
Autorização é o processo de garantir ou negar o acesso de
recursos a um usuário;
•
A autorização depende do direitos de acesso do usuários a
determinado recurso no sistema.
• Identificação e autorização trabalham em conjunto para
implementar os conceitos de Confidencialidade, Integridade e
Disponibilidade.
•
Exemplos:
– Confidencialidade – a identidade de um usuário é autenticada
pelo sistema. Este usuário será representado no sistema por
um código. Por meio do uso deste código acesso a dados e
recursos podem ser permitidos ou negados.
– Integridade – autorização provê mecanismos para evitar o
corrompimento de dados por usuários conhecidos mas sem a
autoridade apropriada.
– Disponibilidade – a habilidade de acessar recursos que o
usuário tem permissão é garantida pela habilidade de autorizar
os usuários no acesso aos recursos.
Segurança em Redes: Introdução
19
ISO/IEC 17799
Acesso
•
Em segurança da informação, o acesso a algum recurso é
requisitado para um gerenciador de recursos em nome de algum
usuário.
• O acesso é controlado, dar permissão ou negação, em grande parte
pelas Lista de Controle de Acesso (Access Control Lists (ACLs)).
– As ACLs contêm a identidade do usuário e o níveis de uso
permitidos a este usuário
– Os níveis de uso podem ser:
• Nenhum – sem acesso permitido ao recurso especificado.
• Executar – permite aos usuários e grupos de usuários que
•
•
•
•
executem programas, mas não os permite que façam
alteração.
Ler – é o nível mais baixo de permissões dado a um recurso.
Permite que os usuários acessem o recurso mas não permite
que o execute ou o altere.
Atualizar (Modificar) – permite que usuários e grupos de
usuários alterem o conteúdo dos recursos. Não permite ao
usuário que exclua o recurso.
Controlar – permite que os usuários modifiquem as
permissões do recurso.
Controle Total – permite ao usuário e ao grupo de usuários o
total controle sobre o recurso.
Segurança em Redes: Introdução
20
ISO/IEC 17799
O que são os Ativos?
Segurança em Redes: Introdução
21
ISO/IEC 17799
Exemplos de Ativos
•
•
•
•
•
Ativo Digital
Bem ou direito em forma digital ou virtual
Possui valor financeiro e/ou estratégico
Importância cresce com a sociedade da informação
Exemplos:
–
–
–
–
–
–
–
–
Base de dados de cartões de crédito
Repositório dos códigos fontes de uma empresa de software
Base de dados de pacientes de um hospital
Orçamento de campanha eleitoral
Segredos industriais ou de marketing
Votos eletrônicos
Serviço digital (site de compra na Internet)
Vital que seja protegido e cujo acesso seja controlado
Segurança em Redes: Introdução
22
ISO/IEC 17799
O que são ameaças
(threats)?
• Ameaça é qualquer ação ou
acontecimento que possa agir sobre
um ativo.
• Toda ação ou acontecimento é
através de uma vulnerabilidade,
gerando um determinado impacto.
Segurança em Redes: Introdução
23
ISO/IEC 17799
Exemplos de Ameaças
• Naturais: raios, incêndios;
• De Negócio: fraudes, erros, sucessão
de pessoas;
• Tecnológicas: mudanças, "bugs",
invasões;
• Sociais: greves, depredação,vingança;
• Culturais: impunidade;
Segurança em Redes: Introdução
24
ISO/IEC 17799
Vulnerabilidades
• Vulnerabilidade é definida como uma falha no
projeto, implementação ou configuração de
um software ou sistema operacional que,
quando explorada por um atacante, resulta na
violação da segurança de um computador.
• Existem casos onde um software ou sistema
operacional instalado em um computador
pode conter uma vulnerabilidade que permite
sua exploração remota, ou seja, através da
rede. Portanto, um atacante conectado à
Internet, ao explorar tal vulnerabilidade, pode
obter acesso não autorizado ao computador
vulnerável.
Segurança em Redes: Introdução
25
ISO/IEC 17799
Fontes de Vulnerabilidades
•
•
•
•
•
•
•
Substituição de colaboradores
Falha de Hardware e/ou Software
Falha na Rede
Invasão da Rede
SPAM
Falha Humana
Espionagem
Segurança em Redes: Introdução
26
ISO/IEC 17799
Fontes de Vulnerabilidades
(cont.)
• Software
• Checagem do conteúdo e tamanho de
mensagens
• (Buffer Overflow)
• Uso inapropriado de System Calls
• Reuso de software e componentização
• Protocolos
• Problemas de design
• Sistemas e Redes
• Configuração inadequada
• Patches não instalados
The Open Source Vulnerability Database - http://osvdb.org/
Segurança em Redes: Introdução
27
ISO/IEC 17799
Exploits
•
Um exploit, em segurança da informação, é um programa de computador,
uma porção de dados ou uma sequência de comandos que se aproveita das
vulnerabilidades de um sistema computacional – como o próprio sistema
operacional ou serviços de interação de protocolos (ex: servidores Web).
•
São geralmente elaborados por hackers como programas de demonstração
das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por
crackers a fim de ganhar acesso não autorizado a sistemas. Por isso muitos
crackers não publicam seus exploits, conhecidos como 0days, e o seu uso
massificado deve-se aos script kiddies.
•
Até meados dos anos 90, acreditava-se que os exploits exploravam
exclusivamente problemas em aplicações e serviços para plataformas Unix.
A partir do final da década, especialistas demonstraram a capacidade de
explorar vulnerabilidades em plataformas de uso massivo, por exemplo,
sistemas operacionais Win32 (Windows 9x, NT, 2000 e XP). Como exemplo
temos o CodeRed, o MyDoom, o Sasser em 2004 e o Zotob em 2005.
Exploit Database - http://www.exploit-db.com/
Packet Storm - http://packetstormsecurity.org/
Computer Security Vulnerabilities - http://securityvulns.com/
Segurança em Redes: Introdução
28
Exemplos
Fluxo de um incidente de segurança
Segurança em Redes: Introdução
29
Exemplos
Exemplos
Segurança em Redes: Introdução
30
Exemplos
Falha de Segurança
Indústria do setor químico de pequeno porte (45 funcionários)
Fato: Fórmula recém desenvolvida e ainda não lançada oficialmente
no mercado aparece negociada em um de seus principais clientes.
• Perda: US$ 270K/mês (receita) + gastos pesquisas + imagem.
– Dados:
• 1 ano de investigação sobre o assunto: $ honorários + $ despesas
• 4 pessoas desligadas e 1 preso
– Impossibilidade de comprovar a posse e o controle da fórmula, ausência
total de controles
– Impossibilidade de recuperar as perdas e parar as vendas do produto
Conclusões:
– Após a implantação dos controles sobre PABX, central de fax e e-mail
consegue-se identificar um dos envolvidos.
– Toda a negociação era feito por e-mail, telefone da própria empresa.
Segurança em Redes: Introdução
31
Exemplos
Vulnerabilidades em aplicações
web
Segurança em Redes: Introdução
32
Exemplos
Máximas da área de Segurança da
Informação
•
Um invasor não tenta transpor as barreiras encontradas, ele vai ao
redor delas buscando o ponto mais vulnerável
•
Uma corrente é tão forte quanto o seu elo mais fraco.
•
As portas dos fundos são tão boas quanto às portas da frente.
•
Nenhuma rede é 100% segura
•
Não alcançar 100% não implica que você não deve maximizar a
segurança
•
A resistência de uma corrente equivale à resistência oferecida pelo
seu elo mais fraco
•
Segurança é inversamente proporcional à comodidade
•
Não confie naquilo que você não controla
Segurança em Redes: Introdução
33
Estudo de Caso
Vírus/Malware
Uso de anti-vírus
Pago ou gratuito?
Eficiência
Testes realizados com 20 anti-vírus em
Melhor desempenho:
99,6%.de
Não2010
detectou
+de 5000 malwares!
fevereiro
com
aproximadamente 1,2 milhão de
malwares
0,3% representam 3700 malwares!!!
Fonte: AV Comparatives
http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf
Segurança em Redes: Introdução
34
Conclusão
Redes de computadores estão em
todos os lugares
Complexidade maior cada vez
maior
A segurança da informação só é
lembrada quando acontece o
incidente!
O conhecimento e a implementação
de melhores práticas aumentam a
disponibilidade, integridade e
confidencialidade da informação
Segurança em Redes: Introdução
35
Referências
Open Web Application Security Project (OWASP) http://www.owasp.org/
OWASP Top 10 http://www.owasp.org/index.php/OWASP_Top_10
Security Focus – http://www.securityfocus.com
Cert.Br – http://www.cert.br
Práticas de Segurança para Administradores de Redes
Internet - http://www.cert.br/docs/seg-adm-redes/
Help Net Security - http://www.net-security.org/
Sans.org – http://www.sans.org
Top Cyber Security Risks - http://www.sans.org/top-cybersecurity-risks/
Top 25 Software Errors - http://www.sans.org/top25software-errors/
Segurança em Redes: Introdução
36
Referências
STALLINGS, William. Network Security Essentials –
Applications and Standards – 3rd Edition. Pearson. 2007
PADRÃO ISO/IEC INTERNACIONAL 17799 - Tecnologia da
Informação – Código de Prática para Gestão da Segurança
de Informações
Catálogo de fraudes (CAIS) http://www.rnp.br/cais/fraudes.php
Network Security History –
http://web.mit.edu/~bdaya/www/Network%20Security.pdf
Timeline of computer security hacker history http://en.wikipedia.org/wiki/Timeline_of_computer_security_h
acker_history
10 Famous Hackers http://curiosity.discovery.com/topic/internetcommunications/10-famous-hackers-hacks1.htm
Fóruns
Invaders - http://www.forum-invaders.com.br/vb/
Invasão - http://www.forum.invasao.com.br/
Segurança em Redes: Introdução
37