Segurança da Informação
“Uma corrente é tão segura
quanto seu elo mais fraco”.
[email protected]
1
Definições
Segurança: estado, qualidade ou condição de seguro.
Condição daquele(ilo) em que se pode confiar. Certeza,
firmeza, convicção [Aurélio].
Um sistema é seguro se ele se comporta da forma que
você espera que ele o faça.
Segurança em informática resume-se a uma série de
soluções técnicas para problemas não técnicos. É um
mecanismo que providencia meios para reduzir as
vulnerabilidades existentes em um Sistema de
Informação.
2
Segurança da Informação em Sistemas
É a proteção de Sistemas de Informação contra:
. Negação de Serviço,
. Intrusão,
. Modificação não Autorizada em dados/informação
armazenada, em processamento ou em trânsito;
ambrangendo:
. RH,
. Documentação,
. Instalações de Comunicação e Computacionais e
Destinada a:
. Previnir,
. Detectar,
. Deter e
. Documentar eventuais ameaças neste contexto.
3
Segurança da Informação
Definição
Segurança envolve
tecnologia, processos e pessoas.
É uma área emergente no Brasil.
4
Importância da Segurança
Princípio básico:
Não existe sistema totalmente seguro!
• Quanto vale uma informação para uma
instituição?
• Sem informação uma instituição pode
sobreviver quanto tempo?
• O que exatamente precisa ser protegido?
5
6
Ciclo de Vida da Informação
• Criação
• Manuseio
• Armazenamento
• Transporte
• Descarte
A Segurança deve ser garantida
em todas as fases do ciclo!
• Garantir a continuidade.
• Minimizar os riscos.
7
Objetivos da
Segurança da Informação
 Confidencialidade
 Disponibilidade
 Integridade
 Autenticidade
 Não repúdio
 Legalidade
8
Domínios
Melhores práticas de mercado (ISO 27.00x)
1. Controle de Acesso
2. Segurança em Rede e Telecomunicações
3. Práticas e Gerenciamento de Segurança
4. Desenvolvimento de Sistemas e Aplicações
5. Criptografia / PKI
6. Modelos e Arquiteturas de Segurança
7. Segurança de Operações
8. Continuidade de Negócios (BCP e DRP)
9. Compliance e análise forense
10. Segurança Física
O Homem Invade
O homem nasce com impulso de explorar
o desconhecido e proibido.
O desconhecido traz emoções tão intensas que
permite a alguns indivíduos,
atos que a maioria mesmo tendo vontade,
não se permitiriam.
Cultura, educação e índole determinarão o lado
que estes indivíduos estarão.
10
O Homem possibilita a Invasão
 Curiosidade
 Ambição Financeira
 Ingenuidade
 Confiança na humanidade
 Ser prestativo
 Desejo de ajudar
 Falta de informação
 Carência Afetiva
11
Comportamento
do Ser Humano
Auto-confiança excessiva
Vai dar, não vou ter problemas...
Busca de prazer instantâneo
Fast-food, lava-rápido, fumar...
Preservação da Imagem
Fazer backup perde tempo,
um capacete me deixa feio...
12
Mudança Cultural
“Segurança de Informação
é um processo e não um produto”
(Bruce Schneier, criptólogo e especialista em segurança)
A conscientização da segurança de informação
deve estar contida na cultura
do ser homem moderno.
Conhecer ao máximo o Sistema Operacional para se
proteger por exemplo, de extensões perigosas.
13
Hackers e Crackers
Hacker. Termo inicialmente utilizado para designar pessoa
altamente habilidosa em criar e modificar software e
hardware básicos de computador;
Passou a ser utilizado genericamente pela mídia como
sinônimo de pirata digital, invasor ou vândalo;
Atualmente, um Hacker criminoso é denotado como Cracker.
Script kiddies. Geralmente são jovens inexperientes que
utilizam programas prontos disponíveis na Internet para
invadir os sistemas.
14
Engenharia Social
Kevin Mitnick
Mitnick (1963, americano) é considerado por
muitos o Hacker mais famoso do mundo.
Ficou preso de 1995 a
2000 e hoje é consultor
de Segurança da
Informação.
15
Sistemas Seguros
Programadores bons desenvolvem
sistemas ruins (inseguros)! Por que?
• Livros de programação não abordam programação
segura;
• Professores de programação também não;
• Mentalidade: Programar é resolver problema.
16
Banco de Dados Seguros
``Testes podem apenas mostrar a
presença de erros e não a sua ausência'‘.
(Dijkstra, cientista da computação holandês, 1930-2002)
Dificuldades
• Trabalho não valorizado pelo cliente;
• Trabalho não valorizado pelo profissional;
• Não é objetivo final;
• Cultura da velocidade;
• Ambientes de desenvolvimento e SGBD.
17
Política de Segurança
• Conjunto de normas e diretrizes destinadas para
proteção dos bens da organização.
• Objetivo: Definir a forma da utilização dos seus
recursos através de procedimentos para
prevenir incidentes de segurança.
• Importância: A informação é um recurso
valioso, sendo tático, estratégico ou
operacional. Política de segurança visa
proteger a informação.
18
Segurança Física: Mobile Recovery Center
19
Tipos de Ataques à Comunicação
20
Criptografia
``A habilidade humana não pode inventar código que a
habilidade humana não possa decifrar.'‘
(Allan Poe, escritor norte-americano, 1809-1849)
(do grego: kryptós, escondido e gráphein, escrever)
Estudo das técnicas (usualmente matemáticas)
pelas quais uma informação pode ser
transformada da sua forma legível para outra
ilegível, o que a torna não eficiente de ser lida
por alguém não autorizado.
21
Impacto da
Criptografia Computacional
John Markoff, colunista de tecnologia do NY
Times, 2006, em comemoração dos 30 anos da
chave pública, disse que com a possível exceção
de armas nucleares, não conseguia pensar em
nenhuma tecnologia que tenha tido um impacto
político e econômico mais profundo sobre o
mundo do que a criptografia.
Até 1993, a criptografia era considerada, pelas
leis americanas, uma perigosa arma de guerra.
22
Criptografia Simétrica
Alice
Texto P
legível
Bob
Cifração
Texto
cifrado
c
P Texto
Decifração
legível
K
Canal seguro
Chave
K
Mesma chave no ciframento
e no deciframento!
São rápidos!
23
Criptografia Visual (VCK)
24
Criptografia Assimétrica
^
P
Criptoanalista
^
KR
Emissor A
P
Texto
legível
a
Receptor B
C
Cifração
Duas Chaves:
KU
P
Texto
legível
Decifração
KR
b
b
Pública e Privada.
São Complexos!
Par de
chaves
25
Assinatura Digital
Assegura a um documento
por um prazo de validade:
integridade;
não repúdio;
autenticidade de dados e
autenticidade de origem.
Pode acrescentar
confidencialidade.
26
Hash Criptográfica
Resumo da mensagem
Função de Hash
 Comprime mensagem inicial.
 Do hash não se calcula a mensagem inicial
(funcao unidirecional);
Função de Hash Criptográfica
 Duas mensagens iniciais não criam o mesmo
hash (resistente a colisão).
 Do hash nunca se descobre a mensagem
inicial (resistente a pre-imagem).
27
Existe criptografia
de fácil acesso e baixo custo?
“Utilizar o PGP é exercer o direito constitucional do sigilo
na comunicação e da privacidade”.
Apagando permanentemente Arquivos: PGP Wipe
Cada gravação de bits “0” do PGP é chamada de passo e
o número recomendado depende do nível de segurança
necessário:
03 passos - uso pessoal;
10 passos - uso comercial;
18 passos - uso militar;
26 passos - máxima segurança.
28
Esteganografia
Métodos para ocultar a existência
de uma mensagem dentro de outra
(ou um arquivo dentro de outro arquivo).
29
Consegue
achar
10 faces
nesta
árvore?
30
Esteganografia
Exemplo
31
32
Biometria
•
•
•
•
•
•
•
Impressão digital;
Retina;
Íris;
Geometria das mãos;
Face;
Voz;
Assinatura.
33
Autenticaçao por Credenciais
combinação mínima de dois métodos
O que se possui: cartão inteligente ou similar
O que se conhece: senha
O que se é: biometria
Onde se está: controle física de localização
34
Biometria e criptografia
Pendrive com
leitor biométrico embutido,
ativado ao conectar o dispositivo
na entrada USB 2.0.
Pendrive com
leitor biométrico desacoplável.
O leitor biométrico é pago uma
única vez.
35
RFID
36
Detecção de Intrusão
Monitoração de estações com o intuito de
descobrir ações de intrusos.
Um Sistema de Detecção de Intrusão (IDS)
tenta detectar ataques ou usos impróprios e
alertar (mantém log).
Análogo ao sistema de detecção de ladrões,
utilizado em casas para prevenir incidentes.
37
Forense Computacional
Supri necessidades jurídicas
de evidências eletrônicas.
Ciência que estuda aquisição,
preservação, recuperação e análise de
dados em formato eletrônico,
armazenados em algum tipo de mídia
computacional.
38
Anti...
Antivírus - Detecta e destrói automaticamente os
vírus do seu computador e protege suas informações
pessoais contra as ameaças da internet.
Anti-spyware - Spywares são programas espiões
que coletam informações sobre uma pessoa ou
empresa, normalmente sem seu conhecimento. Com
um ANTI-SPYWARE, seu computador fica ainda
mais protegido contra estas ameaças.
39
Marca D’água
40
Marca D’água
41
Marca D’água
42
Marca D’água
43
Imagem
na
Internet
Foto adicionada
em um
perfil no Orkut
(dez/2007).
O crime pode render
pena de seis meses a
três anos de detenção.
Diego, 20 anos, tirou foto na qual aparece em pé no teto da viatura
44
Imagem
na
Internet
Pena aplicada:
Foto adicionada
no mesmo
perfil no Orkut
após algum tempo.
45
Perguntas?
46