UNIVERSIDADE TUIUTI DO PARANÁ
Eduardo Vinicius Vieira Martins
SEGURANÇA DE TI NAS ORGANIZAÇÕES
CURITIBA
2012
UNIVERSIDADE TUIUTI DO PARANÁ
Eduardo Vinicius Vieira Martins
SEGURANÇA DE TI NAS ORGANIZAÇÕES
Monografia
apresentada
como
requisito
avaliativo
para
obtenção do grau de Especialista em Redes de Computadores
da Faculdade de Ciências Exatas e de Tecnologia da
Universidade Tuiuti do Paraná.
CURITIBA
2012
Dedico este trabalho de conclusão ao
meus
pais,
irmãos,
namorada
e
colegas de trabalho que me apoiaram
durante mais uma etapa da minha vida
e sempre me incentivam a enfrentar
novos desafios.
RESUMO
A utilização de sistemas de informação vem ao longo do tempo se tornando um fator
critico de sucesso para empresas, A informação em muitos casos, é um forte
imperativo de performance para empresas modernas se destacarem em seus
negocios. Os elementos padrões de produção de uma empresa, normalmente são
capital, mão de obra e matéria primas. Mas o que seria do negocio sem
informação.? Como qualquer outro ativo importante para os negócios, a informação
tem valor para a organização e consequentemente necessita ser adequadamente
protegida, pois esse ativo passou a ser alvo de desejo de outras pessoas e/ou
entidades que utilizam inúmeras maneiras de capturar informações, sejam licitas ou
ilícitas.
Para satisfazer os objetivos de negócio as informações precisam estar em
conformidade com os critérios de segurança. São eles: confidencialidade,
integridade e disponibilidade, porém para atender a tal critério, pode-se utilizar de
inúmeras ferramentas de proteção em conjunto com normas de segurança para
estar com conformidade com leis e regulamentos.
Palavras chaves: Sistemas de Informação e segurança, Tecnologia da Informação,
Redes Corporativas, Critérios de Segurança e Normas de Segurança.
ABSTRACT
The use of information systems over time is becoming a critical success factor for
companies, the information in many cases, it is imperative for a strong performance
for modern enterprises to excel in their businesses. The standard elements of a
production company, usually capital, labor and raw materials. But what would the
business without information.? Like any other valuable asset for business,
information has value to the organization and consequently needs to be adequately
protected, since this asset has become the subject of desire for other people and / or
entities that use many ways to capture information, whether licit or illegal.
To meet the business objectives the information required to comply with safety
criteria. They are: confidentiality, integrity and availability, but to meet this criterion,
one can use numerous tools protection in conjunction with safety standards to be in
compliance with laws and regulations.
Key-words: Information Systems and Security, Information Technology, Enterprise
Networking, Security Criteria and Standards for Safety.
LISTA DE FIGURAS
Figura 1 – Cain & Abel, software para realizar enumeration. ........................... 39
Figura 2 – Tela Shell do debian tentando quebrar senha. ................................ 40
Figura 3 – Termino de quebra de senha. ......................................................... 41
Figura 4 – Tela inicial metasploit. ..................................................................... 42
Figura 5 – Contatando o alvo ........................................................................... 42
Figura 6 – Executando um scan de portas no alvo. ......................................... 43
Figura 7 – Exibindo os exploits disponíveis. ..................................................... 44
Figura 8 – Indicando Alvo. ................................................................................ 44
Figura 9 – Utilizando payload. .......................................................................... 45
Figura 10 – Exibindo o alvo e a máquina do atacante com o shell do alvo. ..... 45
Figura 11 – Exibindo arquivos no alvo via shell................................................ 46
Figura 12 – Comando necessário para instalar a aplicação e dependencias. . 47
Figura 13 – Aceitando arquivios necessários. .................................................. 47
Figura 14 – Configurando a rede a escutar. ..................................................... 48
Figura 15 – Comando para exibir as configurações do SNORT....................... 48
Figura 16 – Exibindo as configurações do SNORT. ......................................... 49
Figura 17 – Reiniciando Serviço....................................................................... 50
Figura 18 – Comando para iniciar o monitoramento. ....................................... 50
Figura 19 – Detectando no momento da intrusão. ........................................... 51
SUMÁRIO
1 INTRODUÇÃO ................................................................................................ 1
2 SEGURANÇA DA INFORMAÇÃO .................................................................. 3
2.1 MÓDULO SECURITY, 2006, p. 25 ............................................................... 6
3 AMEAÇAS A INFORMAÇÃO ........................................................................ 12
3.1 Ameaças e pontos fracos ........................................................................... 12
3.2 Vulnerabilidades ......................................................................................... 14
3.2 RISCOS E CICLO DE SEGURANÇA ......................................................... 15
3.2.1 ANÁLISE DE RISCOS............................................................................. 17
3.3.2 MOMENTO E ESCOPOS DA ANÁLISE DE RISCOS ............................. 19
3.3.3 MOMENTOS DA ANALISE DE RISCOS................................................. 19
3.3.4 ESCOPO DA ANÁLISE DE RISCOS ...................................................... 20
4 CICLOS DA SEGURANÇA ........................................................................... 22
4.1 IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA ..................................... 22
4.1.1 IMPLANTAÇÃO DA POLÍTICA ............................................................... 22
4.1.2 Temas da política .................................................................................... 23
4.1.3 Uso da Política ........................................................................................ 24
4.1.4 IMPLEMENTAÇÃO DA SEGURANÇA .................................................... 24
4.1.5 Considerações importantes ..................................................................... 25
4.2 Plano de segurança ................................................................................... 27
4.2.1 Plano de ação ......................................................................................... 28
4.2.2 Planejamento da implantação ................................................................. 28
4.2.3 Metodologia de implementação............................................................... 28
4.2.4 Registro das atividades ........................................................................... 28
5. NORMAS DE SEGURANÇA DA INFORMAÇÃO ......................................... 30
5.1 ITIL ............................................................................................................. 31
5.2 COBIT ........................................................................................................ 32
5.3 BS 15000 / ISO 20000– NORMAS DE GESTÃO DE SERVIÇOS.............. 34
6 ATAQUES ..................................................................................................... 36
6.1 SISTEMA DE DETECÇÃO DE INTRUSÃO - IDS ...................................... 36
6.1.1 Baseado em rede (NDIS) ........................................................................ 36
6.1.2 Baseado em anomalias (NBAD).............................................................. 36
6.1.3 Baseado em computador (HIDS) ............................................................ 37
6.2 TIPOS DE DETECÇÃO .............................................................................. 37
6.2.1 Detecção baseada em assinatura ........................................................... 37
6.2.2 Detecção baseada em anomalias ........................................................... 37
6.2.3 Detecção baseada em estado ................................................................. 37
6.2.4 SISTEMA DE PREVENÇÃO DE INTRUSÃO – IPS ................................ 38
6.2.5.4 FIREWALL ........................................................................................... 38
7 EXEMPLOS PRÁTICOS ............................................................................... 39
7.1 Enumeration com Cain & Abel ................................................................... 39
7.2 Quebrando senha....................................................................................... 39
7.3 Ataque usando Metasploit .......................................................................... 41
7.3.4 Instalando e validando um ataque com NIDS ......................................... 46
8 CAUSAS E RECOMENDAÇÕES .................................................................. 52
8.1 POSSÍVEIS CAUSAS DE TROJANS OU INVASÕES ............................... 52
8.2 RECOMENDAÇÕES DE SEGURANÇA .................................................... 52
9 CONCLUSÃO................................................................................................ 54
REFERÊNCIAs ................................................................................................ 55
GLOSSÁRIO .................................................................................................... 57
1
1 INTRODUÇÃO
Segundo o dicionário Aurélio, informação é o conjunto de dados acerca de
alguém ou de algo. Estendendo o conceito, podemos afirmar que a informação é a
interpretação desses dados. De nada vale um conjunto de dados sem que se faça a
interpretação dos mesmos para se extrair um conhecimento útil.
As organizações necessitam de informação para tomar decisões objetivando
seus fins. Isto mostra o quão poderosa é a informação. Sem ela não há estratégias,
não há mudanças ou até mesmo não existiriam as empresa. Uma consequência
natural da importância da informação é a extrema vulnerabilidade a que cada
empresa se expõe caso haja perda de dados vitais, como plantas de projetos,
planilhas de custos, documentos contábeis, financeiros, entre outros. Quanto maior
for à organização maior será sua dependência da informação consequentemente,
maior seus riscos.
A informação pode estar armazenada de várias formas: impressa em papel,
em meios digitais, na mente das pessoas, em imagens armazenadas em fotografias
e filmes. Quando lidamos com segurança da informação, é necessário pensar em
sua confidencialidade, integridade e disponibilidade em qualquer um dos meios,
utilizando todos os recursos disponíveis, e não somente os tecnológicos.
Devemos tratar a informação como um ativo da empresa com a mesma
importância que qualquer outro bem físico. Por isso, deve ser protegido contra
roubo, problemas ambientais, vandalismo, dano acidental ou provocado.
Quanto mais interconectada for uma empresa, maior será a complexidade
dos sistemas por onde trafegam e são armazenadas as informações e,
consequentemente, maior será a preocupação com o nível de segurança a ser
implantado a fim de garantir a confidencialidade, confiabilidade, disponibilidade e
integridade da informação que ela detém.
A disciplina de segurança da informação trata do conjunto de controles e
processos que visam preservar os dados que trafegam ou são armazenados em
qualquer meio. As modernas tecnologias de transporte, armazenamento e
manipulação dos dados, trouxeram enorme agilidade para as empresas, mas, ao
mesmo tempo, trouxeram também novos riscos. Ataques de crackers (Black hat
hackers), de engenharia social, vírus, worms, negação de serviço, espionagem
2
eletrônica são noticiadas pela imprensa todos os dias. Diante deste cenário, a
segurança da informação torna-se imprescindível para as organizações, sejam elas
do setor público ou privado.
Devido à importância da informação, temos que tomar providências a fim de
manter os três princípios básicos que são integridade, confidencialidade e
disponibilidade.
3
2 SEGURANÇA DA INFORMAÇÃO
A segurança da informação tem como propósito proteger as informações
armazenadas, sem importar onde estejam se estão impressas em papel,
armazenadas nos discos rígidos dos computadores ou até mesmo na memória das
pessoas que as pertencem.
Os objetos reais estão protegidos por técnicas que os isolam atrás de grades
ou dentro de cofres, sob a mira de câmeras ou seguranças. Mas, e as informações
armazenadas nos de servidores de arquivos, que trafegam pelas redes de
comunicação ou que são lidas na tela dos computadores? Como assegurar da
mesma maneira que um objeto real?
Uma das várias preocupações da segurança da informação é proteger os
elementos que fazem parte da comunicação. Primeiramente devem-se identificar os
elementos que a segurança da informação a proteger: as informações, os
equipamentos e sistemas que a manipulam e as pessoas que as utilizam.
Proteger significa não deixar uma vulnerabilidade danificar a informação.
Como podemos danificar uma informação? Pode-se corromper acesso indevido ou
eliminando-a ou furtando-a.
Com isto, entendemos que a segurança da informação busca proteger os
ativos do negócio ou individuo com base na prevenção de três princípios básicos:
•
Integridade
•
Confidencialidade
•
Disponibilidade
O primeiro dos três princípios da segurança da informação que aplicamos é
a integridade, a qual nos permite garantir que a informação não tenha sido alterada,
ou seja, está íntegra. Uma informação íntegra é uma informação que não foi alterada
de forma indevida ou não autorizada. Para que a informação possa ser utilizada, ela
deve estar íntegra. Quando ocorre uma alteração não autorizada da informação em
um documento, isso quer dizer que o documento perdeu sua integridade. A
integridade da informação é fundamental para o êxito da comunicação. O receptor
deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a
mesma que foi colocada à sua disposição pelo emissor para uma determinada
4
finalidade. A quebra de integridade ocorre quando a informação é corrompida,
falsificada ou indevidamente alterada.
Uma informação poderá ser alterada de várias formas, tanto em seu
conteúdo quanto no ambiente que lhe oferece suporte. Portanto, a quebra da
integridade de uma informação poderá ser considerada sob dois aspectos: alteração
do conteúdo dos documentos e alteração nos elementos que oferecem suporte.
Alterações do conteúdo dos documentos: quando são realizadas modificações em
seu conteúdo. Alterações nos elementos que oferecem suporte à informação:
quando são realizadas alterações na estrutura física e lógica onde a informação está
armazenada.
Buscar a integridade é tentar assegurar ao máximo que apenas as pessoas
ou sistemas autorizados possam fazer alterações na forma e no conteúdo de uma
informação, e que, alterações causadas por acidentes ou defeitos de tecnologia não
ocorram, isto em qualquer ativo da empresa. Para proteger a integridade, é
necessário que todos os elementos que compõem a base da gestão da informação
se mantenham em suas condições originais definidas por seus responsáveis e
proprietários.
O princípio da confidencialidade da informação tem como objetivo garantir
que apenas a pessoa correta tenha acesso à informação. As informações trocadas
entre indivíduos e empresas nem sempre deverão ser conhecidas por todos. Muitas
informações geradas pelas pessoas se destinam a um grupo específico de
indivíduos e, várias vezes, a uma única pessoa. Isto define que apenas algumas
pessoas ou grupos devem ter acesso ás informações. Por isso, dizemos que a
informação possui um grau de confidencialidade que deverá ser mantido para que
as pessoas não autorizadas não tenham acesso a ela. Ter confidencialidade na
comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum
lugar só será escutado ou lido por quem for autorizado. Perder a confidencialidade é
perder o segredo. Se uma informação é confidencial, ela será secreta e deverá ser
guardada com segurança.
Proteger a confidencialidade é um dos fatores determinantes para a
segurança e uma das tarefas mais difíceis de implementar, pois envolve todos os
elementos que fazem parte da comunicação da informação, partindo sempre da
origem, passando pelo caminho percorrido e chegando até o destino. Além disso,
informações têm diferentes graus de confidencialidade, normalmente relacionados
5
aos seus valores. Quanto maior for o grau de confidencialidade, maior será o nível
de segurança necessário na estrutura tecnológica e humana que participa desse
processo: uso, acesso, trânsito e armazenamento das informações. Deve-se
considerar a confidencialidade com base no valor que a informação tem para a
empresa ou a pessoa e os impactos causados por sua divulgação indevida. Assim,
deve ser acessada, lida e alterada somente por aqueles indivíduos que possuem
permissão para tal. O acesso deve ser considerado com base no grau de sigilo das
informações, nem sempre algumas informações importantes da empresa são
confidenciais.
O último princípio abordado neste trabalho fala sobre a disponibilidade. Para
que uma informação possa ser utilizada, ela deve estar sempre disponível. A
disponibilidade é o terceiro princípio básico da segurança da informação. Refere-se
à disponibilidade da informação e de toda a estrutura física e tecnológica que
permite o acesso, o trânsito e o armazenamento. A disponibilidade da informação
permite que: seja utilizada quando necessário, esteja ao alcance de seus usuários e
destinatários, possa ser acessada no momento em que for necessário utilizá-la.
Esse princípio está associado à adequada estruturação de um ambiente
tecnológico e humano que permita a continuidade dos negócios da empresa ou das
pessoas, sem impactos negativos para a utilização das informações. Assim, o
ambiente tecnológico e os suportes da informação deverão estar funcionando
corretamente para que a informação armazenada neles e que por eles transita
possa ser utilizada pelos usuários.
Para que seja possível proteger a disponibilidade da informação, é
necessário conhecer seus usuários, para que se possa organizar e definir, conforme
cada caso, as formas de disponibilização, seu acesso e uso quando necessário. A
disponibilidade da informação deve ser considerada com base no valor que a
informação tem e no impacto resultante de sua falta de disponibilidade. Para
proteger a disponibilidade, muitas medidas são levadas em consideração. Entre
elas, destacamos:
•
A configuração segura de um ambiente em que todos os elementos
que fazem parte da cadeia de comunicação estejam dispostos de forma adequada
para assegurar o êxito da leitura, do trânsito e do armazenamento da informação.
6
•
Também é importante fazer cópias de segurança – backup. Isso
permite que as mesmas estejam duplicadas em outro local para uso caso não seja
possível recuperá-las a partir de sua base original.
2.1 MÓDULO SECURITY, 2006, p. 25
Desde a pré-história, cerca de 2000 anos antes de Cristo (AC), o homem já
sentia necessidade de transmitir e perpetuar a informação. Usava pinturas nas
pedras para expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema
de linguagem escrita na Suméria. A partir daí várias civilizações desenvolveram seus
próprios métodos de registro e transmissão da informação, dentre eles podemos
destacar:
•
os hieróglifos e o papiro no antigo Egito, em 3000 AC;
•
o ábaco dos babilônios, 1800 AC;
•
os primitivos livros chineses de bambu ou madeira presos por cordas
datados de 1300 anos AC;
•
o processo chinês de fabricação de papel, de 105 DC alcançando
Bagdá em 753 DC;
•
a fotografia de 1826;
•
o telégrafo eletromagnético de Samuel Morse, em 1837;
•
as primeiras transmissões de rádio em broadcast em 1917;
•
o primeiro computador digital em 1943.
Todo este processo milenar nos levou até as modernas tecnologias de
transmissão e armazenamento digital de dados no século 20. Todos aqueles
métodos de armazenamento padeciam de um problema: como preservar essas
informações para que fossem acessadas após sua geração? No ano 600 da era
cristã o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo
sobrevive até os dias atuais com cerca de 20000 placas. É um exemplo clássico da
necessidade da transmissão da informação armazenada. Desde o início, o desafio
era conter as diversas ameaças à informação, algumas das quais enfrentamos até
hoje:
incêndios,
saques,
catástrofes
naturais,
deterioração
do
meio
de
7
armazenamento. À medida que a sociedade evoluía, a preocupação com a
segurança das informações aumentava, principalmente no quesito confidencialidade.
Foram criados vários processos de cifragem da informação, que tinham a
função de alterar o conteúdo das mensagens antes de seu envio. Ao capturar uma
mensagem o inimigo obtinha apenas um texto cifrado e não a mensagem original.
Isso permitiu que segredos e estratégias fossem trocados de forma segura
entre aliados. Por exemplo, a cifragem de César foi usada para troca de informações
entre os exércitos durante o império romano; a máquina de cifrar “Enigma” foi
utilizada como uma grande arma de guerra pelos alemães durante o período da
segunda grande guerra. Atualmente a criptografia e a esteganografia continuam
sendo
largamente
utilizadas
em
diversas
aplicações
de
transferência
e
armazenamento de dados. O surgimento dos computadores e de sua interconexão
através de redes mundialmente distribuídas permitiu maior capacidade de
processamento e de distribuição das informações. Com essa capacidade de
comunicação, surgiu também a necessidade da criação de mecanismos que
evitassem o acesso e a alteração indevida das informações. Como resultado,
surgiram várias propostas e publicações de normas de segurança em todo o mundo.
O ano de 1967 foi o ano em que a segurança de computadores passou a ter
atenção oficial nos Estados Unidos. Nesta época foi criada uma força tarefa cujo
foco era a construção de mecanismos de segurança de computadores que deveriam
ser desenvolvidos para prover a proteção de informações classificadas e do
compartilhamento de recursos do sistema; este esforço resultou em um documento
denominado Security Controls for Computer Systems: Report of Defense Science
Boad Task Force on Computer Security editado por W. H. Ware. Este relatório
representou trabalho inicial de identificação e tratamento do problema clássico de
segurança de computadores.
Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um
conjunto de regras para avaliação da segurança nas soluções disponibilizadas.
Ficou conhecido como “The Orange Book”. Em 1978, teve início o processo de
escrita do Orange Book, denominado DoD 5200.28-STD, que foi concluído em 15 de
agosto 1983, com o documento CSC-STD-001-83 - Library No. S225,711 DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION
CRITERIA (TCSEC). Paralelamente foi publicado o documento An Introduction to
8
Computer Security: The NIST Handbook, proposto pelo National Institute of
Standards and Technology - U.S. Department of Commerce.
Para facilitar sua aplicação, as normas de segurança foram divididas em
vários controles. Cada controle seria responsável por atender a um dos quesitos da
norma. O uso de controles permite uma visão modular da questão da segurança e a
aplicação contextualizada das normas às organizações.
À medida que as organizações cresciam as redes de computadores e os
problemas de segurança também cresciam.
Não demorou muito para ficar claro que proteger somente os sistemas
operacionais, as redes e as informações que trafegavam por elas não eram o
suficiente. Com isto, foram criados comitês com o objetivo de desenvolver
mecanismos mais eficientes e globais de proteção à informação.
Diversas iniciativas de organizações governamentais já aplicam normas
específicas internas baseadas em normas internacionais e nacionais. No Brasil a
política de segurança da Informação nos órgãos e nas entidades da administração
pública federal é regulamentada através do Decreto Presidencial No 3.505, de 13 de
junho de 2.000. Esse decreto enfatiza em seu artigo 3o inciso I, o seguinte objetivo:
Dotar os órgãos e as entidades da Administração Pública Federal de
instrumentos jurídicos, normativos e organizacionais que os capacitem
científica,
tecnológica
e
administrativamente
a
assegurar
a
confidencialidade, a integridade, a autenticidade, o não repúdio e a
disponibilidade dos dados e das informações tratadas, classificadas e
sensíveis.
Esse decreto representa a importância que as entidades devem dar à
segurança da informação. Atendendo a esse decreto, diversos organismos
governamentais desenvolvem seus códigos de boas práticas em segurança da
informação que devem ser seguidos pelas pessoas que de alguma forma estão
relacionadas com os ambientes informatizados. Empresas privadas também se
valem dos códigos de conduta propostos pelas normas, a fim de obterem a
certificação de segurança da informação, garantindo relações de negócio com seus
parceiros e clientes, em que a mútua confiança no sigilo da informação é
imprescindível.
Ativos: os ativos são elementos que a segurança busca proteger. Os ativos
possuem valor para as empresas e, como consequência, precisam receber uma
9
proteção adequada para que seus negócios não sejam prejudicados. Um ativo é
todo elemento que manipula a informação, inclusive ela mesma, passando pelo seu
emissor, o meio pelo qual ela é transmitida ou armazenada, até chegar a seu
receptor.
São três os elementos que compõem o que chamamos de ativos:
•
as informações;
•
os equipamentos e sistemas que oferecem suporte a elas;
•
as pessoas que as utilizam.
Informações: neste grupo estão os elementos que contêm informação
registrada, em meio eletrônico ou físico. Qualquer tipo de informação, independente
do tipo de meio em que esteja armazenada, que seja importante para a empresa e
seus negócios Cultura é importante, exemplos desses ativos são:
•
documentos;
•
relatórios;
•
livros;
•
manuais;
•
correspondências;
•
patentes;
•
informações de mercado;
•
código de programação;
•
linhas de comando;
•
arquivos de configuração;
•
planilhas de remuneração de funcionários ;
•
plano de negócios de uma empresa etc.
Software: este grupo de ativos contém todos os programas de computador
utilizados para a automatização de processos, isto é, acesso, leitura, trânsito,
armazenamento e processamento das informações. Dentre eles citamos:
•
os aplicativos comerciais;
•
programas institucionais;
•
sistemas operacionais.
A segurança da informação busca avaliar a forma em que as aplicações são
criadas, como são colocadas à disposição e como são utilizadas pelos usuários e
10
pelos demais sistemas para detectar e corrigir problemas existentes na comunicação
entre eles. Os aplicativos deverão estar seguros para que a comunicação entre os
bancos de dados, outros aplicativos e os usuários ocorram de forma segura,
atendendo aos princípios básicos da segurança da informação, a confidencialidade,
a integridade e a disponibilidade São exemplos desse tipo de ativo os sistemas
operacionais (Unix, Windows, Linux, etc.), sistemas informatizados, aplicativos
específicos, programas de correio eletrônico e sistemas de suporte, entre outros.
Hardware: esses ativos representam toda a infraestrutura tecnológica que
oferece suporte à informação durante seu uso, trânsito, processamento e
armazenamento. Faz parte desse grupo qualquer equipamento no qual se
armazene, processe ou transmita as informações da empresa:
•
as estações de trabalho;
•
os servidores;
•
os computadores portáteis;
•
os mainframes;
•
as mídias de armazenamento.
Neste grupo, estão incluídos os aspectos que compõem a estrutura física e
organizacional das empresas. Refere-se à organização lógica e física do pessoal
dentro da empresa em questão. Como exemplos de estrutura organizacional, temos,
entre outros:
•
a estrutura departamental e funcional;
•
o quadro de alocação dos funcionários;
•
a distribuição de funções e os fluxos de informação da empresa os
servidores.
Em relação ao ambiente físico, entre outros, são considerados:
•
salas e armários onde estão localizados os documentos, sala de
servidores de arquivos.
Usuários: o grupo usuários refere-se aos indivíduos que utilizam a estrutura
tecnológica e de comunicação da empresa e que lidam com a informação. O
enfoque da segurança nos usuários está voltado para a formação do hábito da
segurança em todos os funcionários de uma empresa para tomar decisões e
empreender ações, desde a alta direção até os usuários finais da informação,
incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como
11
técnicos, operadores e administradores de ambientes tecnológicos. São exemplos
deste tipo de ativo:
•
Funcionários da área de contabilidade;
•
Direção da empresa.
12
3 AMEAÇAS A INFORMAÇÃO
3.1 Ameaças e pontos fracos
As ameaças são causa potencial de um incidente indesejado, que caso se
concretize pode resultar em dano. Ameaças exploram as falhas de segurança, que
denominamos pontos fracos, e, como consequência, provocam perdas ou danos aos
ativos de uma empresa, afetando os seus negócios.
Os ativos estão constantemente sob ameaças que podem colocar em risco a
integridade, a confidencialidade e a disponibilidade das informações. Essas
ameaças sempre existirão e estão relacionadas a causas que representam riscos, as
quais podem ser:
•
causas naturais ou não naturais;
•
causas internas ou externas.
Dessa forma, entendemos que um dos objetivos da segurança da
informação é impedir que as ameaças explorem os pontos fracos e afetem um dos
princípios básicos da segurança da informação (integridade, disponibilidade,
confidencialidade), provocando danos ao negócio das empresas. Dados a
importância das ameaças e o impacto que elas podem ter para as informações das
organizações, vamos revisar agora a sua classificação.
As ameaças são constantes e podem ocorrer a qualquer momento. Essa
relação de freqüência-tempo se baseia no conceito de risco, o qual representa a
probabilidade de que uma ameaça se concretize por meio de uma vulnerabilidade ou
ponto fraco. Elas podem se dividir em três grandes grupos:
•
Ameaças naturais – condições da natureza e a intempérie que poderão
provocar danos nos ativos, tais como fogo, inundação, terremotos;
•
Intencionais – são ameaças deliberadas, fraudes, vandalismo,
sabotagens, espionagem, invasões e furtos de informações, entre outros;
•
Involuntárias – são ameaças resultantes de ações inconscientes de
usuários, por vírus eletrônicos, muitas vezes causados pela falta de conhecimento
no uso dos ativos, tais como erros e acidentes.
Entre as principais ameaças, a ocorrência de vírus, a divulgação de senhas
e a ação de hackers estão entre as mais frequentes. Com a importância estratégica
que vem conquistando as tecnologias da informação, os prejuízos com as invasões
13
e incidentes na Internet provocam a cada ano um impacto mais profundo nos
negócios das empresas brasileiras. O mercado está mais atento aos novos perigos
que resultam da presença e do uso da Internet. Sete de cada dez executivos
entrevistados acreditam que haverá um aumento no número de problemas de
segurança em 2000; 93% reconhecem a grande importância da proteção dos dados
para o sucesso do negócio, sendo que 39% a consideram vital para o ambiente
corporativo. O controle daquilo que ocorre nas redes corporativas foi um dos pontos
mais fracos nas empresas brasileiras. Destacamos os seguintes fatores críticos
detectados pela pesquisa a ser analisada a seguir:
•
Somente 27% afirmam nunca ter sofrido algum tipo de ataque;
•
Cerca de 41% nem sequer sabem que foram invadidos, revelando o
grande risco que as organizações correm em não conhecer os pontos fracos da
intranet;
•
Para 85% das empresas, não foi possível quantificar as perdas
causadas por invasões ou contingências ocorridas;
•
O acesso à Internet por modem é permitido em 38% das empresas.
Este é um grande perigo indicado pela pesquisa, já que as empresas não
destacaram a utilização de medidas de segurança para esse uso;
•
75% das empresas mencionam que os vírus são a maior ameaça à
segurança da informação nas empresas. Embora 93% das corporações afirmem ter
adotado sistemas de prevenção contra vírus, 48% viram seus sistemas
contaminados nos últimos seis meses e apenas 11% das empresas entrevistadas
declaram nunca ter sido infectadas;
•
A divulgação de senhas foi indicada como a segunda maior ameaça à
segurança, sendo mencionada por 57% das empresas. Os hackers, tradicionalmente
os maiores vilões da Internet, aparecem em terceiro lugar (44%), e os funcionários
insatisfeitos (42%) em quarto lugar.
14
3.2 Vulnerabilidades
As ameaças sempre existiram e é de se esperar que, à medida que a
tecnologia progride, também surjam novas formas através das quais as informações
podem ficar expostas.
Portanto, é importante conhecer a estrutura geral de como se classificam as
vulnerabilidades ou pontos fracos que podem fazer com que essas ameaças causem
menos impactos em nossos sistemas, comprometendo os princípios da segurança
da informação.
As vulnerabilidades são os elementos que, ao serem explorados por
ameaças, afetam a confidencialidade, a disponibilidade e a integridade das
informações de um indivíduo ou empresa. Um dos primeiros passos para a
implementação da segurança é rastrear e eliminar os pontos fracos de um ambiente
de tecnologia da informação. Ao se identificarem as vulnerabilidades ou pontos
fracos, será possível dimensionar os riscos aos quais o ambiente está exposto e
definir as medidas de segurança apropriadas para sua correção.
As vulnerabilidades dependem da forma como se organizou o ambiente em
que se gerenciam as informações. A existência de vulnerabilidades está relacionada
à presença de elementos que prejudicam o uso adequado da informação e da mídia
que ela está utilizando. Podemos compreender agora outro objetivo da segurança da
informação: a correção de vulnerabilidades ou pontos fracos existentes no ambiente
em que se usa a informação, com o objetivo de reduzir os riscos a que ela está
submetida, evitando, assim, a concretização de uma ameaça.
Vulnerabilidades físicas: os pontos fracos de ordem física são aqueles
presentes nos ambientes em que estão sendo armazenadas ou gerenciadas as
informações.
Como exemplo desse tipo de vulnerabilidade distinguem-se os seguintes:
instalações inadequadas do espaço de trabalho, ausência de recursos para o
combate a incêndios; disposição desorganizada dos cabos de energia e de rede,
não identificação de pessoas e de locais, entre outros.
Vulnerabilidades
naturais:
os
pontos
fracos
naturais
são
aqueles
relacionados às condições da natureza que podem colocar em risco as informações.
Entre as ameaças naturais mais comuns, podemos citar:
•
Ambientes sem proteção contra incêndios;
15
•
Locais próximos a rios propensos a inundação;
•
Infraestrutura incapaz de resistir às manifestações da natureza, como
terremotos, maremotos, furacões, etc.
Muitas vezes, a umidade, o pó e a contaminação podem provocar danos aos
ativos. Por isso, eles devem ficar protegidos para poder garantir suas funções. A
probabilidade de estar expostos às ameaças naturais é fundamental na escolha e na
preparação de um ambiente. Devem ser tomados cuidados especiais com o local, de
acordo com o tipo de ameaça natural que possa ocorrer em uma determinada região
geográfica.
3.2 RISCOS E CICLO DE SEGURANÇA
Segundo Thomas A. Wadlow, “A segurança deverá ser proporcional ao valor
do que se está protegendo”. Ou seja, a implantação do sistema de segurança da
informação tem de apresentar uma relação custo benefício que torne a tentativa de
ataque tão cara que desestimule o atacante, ao mesmo tempo em que ela é mais
barata do que o valor da informação protegida. Quando o valor do ativo que se está
protegendo é tão alto que o dano causado ao mesmo é difícil de ser calculado,
devemos assumir o valor da informação como altíssimo imensurável.
Um exemplo a se analisar seria um receituário de medicamentos para
pacientes internados em um hospital. Este sistema de informação lida com dados
que podem colocar em risco a vida humana caso a integridade dos dados seja
corrompida, neste caso não temos como fazer uma análise quantitativa do impacto,
pois a vida humana é tida como mais valiosa que qualquer ativo. Mesmo não se
tratando de um valor imensurável, temos ainda os ativos que são vitais para a
empresa e aqueles que podem levar á implicações legais.
Quando estamos lidando com a análise de valor destes bens, consideramos
que o dano nos mesmos pode resultar em grande perda de credibilidade pela
empresa e até mesmo no posterior encerramento de suas atividades. Neste
contexto, a segurança da informação é a proteção da informação em si, dos
sistemas, da infraestrutura e dos serviços que a suporta, contra acidentes, roubos,
erros de manipulação, minimizando assim os impactos dos incidentes de segurança.
A identificação da real necessidade de proteção de cada ativo é baseada no
conceito de Risco, que é apresentado neste capítulo. Uma vez identificados os
maiores riscos às informações, serão implementadas medidas de segurança, cuja
16
definição e classificação também fazem parte deste capítulo. A constante avaliação
de risco e implementação de medidas de segurança fazem parte do ciclo de
segurança, que fecha o conjunto de assuntos tratados neste módulo.
Risco é a probabilidade de que as ameaças explorem os pontos fracos,
causando perdas ou danos aos ativos e impactos no negócio, ou seja, afetando: a
confidencialidade, a integridade e a disponibilidade da informação.
Concluímos que a segurança é uma prática orientada para a eliminação das
vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaças
potenciais se concretizem no ambiente que se deseja proteger. O principal objetivo é
garantir o êxito da comunicação segura, com informações disponíveis, íntegras e
confidenciais, através de medidas de segurança que possam tornar o negócio de um
indivíduo ou empresa factível com o menor risco possível.
As medidas de segurança são ações orientadas para a eliminação ou
redução de vulnerabilidades, com o objetivo de evitar que uma ameaça se
concretize. Essas medidas são o primeiro passo para o aumento da segurança da
informação em um ambiente de tecnologia da informação e devem considerar a
totalidade do processo.
Como existe uma variedade de tipos de pontos fracos que afetam a
disponibilidade, a confidencialidade e a integridade das informações, é importante
haver medidas de segurança específicas para lidar com cada caso. Antes da
definição das medidas de segurança que serão adotadas, deve-se conhecer o
ambiente nos mínimos detalhes, buscando os pontos fracos existentes.
A partir desse conhecimento, tomam-se medidas ou realizam-se ações de
segurança que podem ser do tipo:
•
Preventivo: buscando evitar o surgimento de novos pontos fracos e
ameaças;
•
Perceptivo: orientado para a revelação de atos que possam pôr em
risco as informações;
•
Corretivo: orientado para a correção dos problemas de segurança à
medida que ocorrem.
As medidas de segurança são um conjunto de práticas que, quando
integradas, constituem uma solução global e eficaz da segurança da informação.
Entre as principais medidas, destacamos:
17
•
Análise de riscos;
•
Diretiva de segurança;
•
Especificação de segurança;
•
Administração de segurança.
A segurança da informação deve ser garantida de forma integral e completa,
por isso é muito útil conhecer com um pouco mais de detalhes estas quatro medidas
de segurança que permite nos mover desde a análise de risco até a administração
da segurança:
•
Análise de riscos: É uma medida que busca rastrear vulnerabilidades
nos ativos que possam ser explorados por ameaças. A análise de riscos tem como
resultado um grupo de recomendações para a correção dos ativos a fim de que
possam ser protegidos;
•
Diretiva de segurança: É uma medida que busca estabelecer os
padrões de segurança que devem ser seguidos por todos os envolvidos no uso e na
manutenção dos ativos. É uma forma de administrar um conjunto de normas para
guiar as pessoas na realização de seu trabalho. É o primeiro passo para aumentar a
consciência da segurança das pessoas, pois está orientada para a formação de
hábitos, por meio de manuais de instrução e procedimentos operacionais;
•
Especificações de segurança: São medidas que objetivam instruir a
correta implementação de um novo ambiente tecnológico através do detalhe de seus
elementos constituintes e a forma como os mesmos devem estar dispostos para
atender aos princípios da segurança da informação;
•
Administração da segurança: São medidas integradas para produzir a
gestão dos riscos de um ambiente. A administração da segurança envolve todas as
medidas mencionadas anteriormente, a do tipo preventiva, perceptiva e corretiva.
3.2.1 ANÁLISE DE RISCOS
São muitos os cenários que podem ser avaliados em termos de segurança
da informação e da análise de riscos, é importante agir e estar consciente com
relação às possíveis falhas de segurança da uma empresa que possam permitir um
acesso indevido aos seus sistemas e suas informações estratégicas.
18
Hoje em dia, as vulnerabilidades de software são exploradas rapidamente,
em uma velocidade muito maior pelas pessoas com intenção de danificar os
computadores de terceiros ou ativos das empresas. Essa velocidade implica que
devemos estar mais alertas do que nunca, não só reagindo, como também
prevenindo possíveis riscos e problemas de segurança. Poucos dias podem fazer a
diferença entre ter seu sistema invadido (ou paralisado) ou estar imune a um novo
tipo de vírus de computador.
A Análise de risco é um dos passos mais importantes para revisar os pontos
fracos e vulneráveis a fim de implementar a segurança da informação em uma
empresa. A fim de identificar os riscos que a organização está submetida, ou seja,
para saber qual é a probabilidade de que as ameaças se concretizem e o impacto
que será causado ao negócio.
As ameaças podem se tornar realidade através de falhas de segurança,
conhecida como vulnerabilidades e que devem ser eliminadas para que o ambiente
esteja livre de riscos de incidentes com a segurança.
Portanto, a relação entre ameaça-vulnerabilidade-impacto é a principal
condição que deve ser levada em conta no momento de priorizar ações de
segurança para a proteção dos ativos de uma empresa.
A análise de riscos é uma atividade voltada para a identificação de falhas de
segurança que identifiquem vulnerabilidades que possam ser exploradas por
ameaças, provocando impactos nos negócios da organização. Uma atividade de
análise que pretende identificar os riscos aos quais os ativos se encontram expostos.
Além disso, é uma atividade que tem como resultado:
•
Encontrar o conjunto de vulnerabilidades que podem afetar o negócio,
para identificar os passos que devem ser seguidos para sua correção;
•
Identificar as ameaças que podem explorar essas vulnerabilidades e,
dessa maneira, elaborar estratégias de proteção;
•
Identificar os impactos potenciais que poderiam ter os incidentes;
•
Determinar as recomendações para que as ameaças sejam corrigidas
ou reduzidas.
Outro ponto importante a ser observado na realização da análise de riscos é
a relação custo-benefício. Esse cálculo permite que sejam avaliadas as medidas de
segurança em relação à sua aplicabilidade e o benefício que poderá ser agregado
19
ao negócio. Assim, essa visão orienta a implantação das medidas de segurança
somente em situações em que a relação custo-benefício se justifique. No entanto é
fundamental que a relação custo-benefício esteja clara para a organização. Em
outras palavras, todos os envolvidos na implementação da segurança devem estar
conscientes dos benefícios trazidos pelas medidas de segurança para a organização
como um todo.
3.3.2 MOMENTO E ESCOPOS DA ANÁLISE DE RISCOS
Não somente os vírus e os crackers constituem uma ameaça para as
empresas. A tecnologia deve ser vista como um apoio, mas para aplicá-la de
maneira eficiente e eficaz é necessário ter consciência de sua necessidade e avaliar
os riscos em potencial. Tais ações podem envolver aperfeiçoamentos tecnológicos,
a implantação de processos dentro da empresa ou simplesmente investir na
capacitação do pessoal.
Como primeiro passo para realizar a análise dos riscos é importante ter em
conta o momento adequado para colocá-la em prática. Além disso, devemos
considerar alguns fatores que podem afetar a prioridade dessa análise nos
diferentes escopos da empresa, como:
•
Escopo tecnológico;
•
Escopo humano;
•
Escopo dos processos;
•
Escopo físico.
3.3.3 MOMENTOS DA ANALISE DE RISCOS
Embora normalmente ela seja utilizada como base para a criação da política
de Segurança, essa atividade pode ser feita depois da definição da política. O
propósito de levar em consideração uma política de segurança na análise se deve a
alguns fatores:
•
A política de segurança delimita o alcance da análise;
•
É possível ser seletivo na verificação dos ativos que a política define
como prioritários;
20
•
A análise leva em consideração a lista de ameaças em potencial que a
mesma política contempla de forma parcial;
•
A análise leva em consideração os riscos e contramedidas definidos na
Política de Segurança.
Para ter uma ideia mais clara de por que afirmamos que a definição de uma
política de segurança marca o momento de começar a análise dos riscos,
recordemos o que vem a ser uma Política de Segurança:
•
É uma medida que busca estabelecer os padrões de segurança a
serem seguidos por todos os envolvidos no uso e na manutenção dos ativos;
•
É uma forma de aplicar um conjunto de normas internas para conduzir
a ação responsável das pessoas na realização de seus trabalhos. É o primeiro
passo para aumentar a conscientização da segurança das pessoas, pois está
orientada à formação de hábitos através de manuais de instrução e procedimentos
operacionais.
Podemos também efetuar a análise de riscos antes do desenvolvimento da
política de segurança. Um melhor benefício é que a política será desenvolvida
levando em consideração a priorização que foi mapeada na análise, melhorando sua
qualidade. Porém, a análise costuma consumir muito tempo. Por conta disso, muitas
empresas optam por fazer a análise após o desenvolvimento da política, entretanto,
são inúmeros os benefícios quando á esta análise.
Além de identificar o momento da análise (antes ou depois da definição de
uma política de segurança), existe outra série de fatores que determinam a
oportunidade dessa análise. Essa tabela ilustra de que forma o momento de
realização da análise de riscos é afetado em razão de alguns desses fatores. Como
se observa na imagem, quanto maior for a exposição feita aos bens da empresa,
menor deverá ser a margem de tempo para o início da análise de riscos e viceversa.
3.3.4 ESCOPO DA ANÁLISE DE RISCOS
Além de estarmos cientes da duração adequada para realizar nossa análise
de riscos, é importante também estar consciente dos diversos escopos nos quais
podemos aplicar nossa análise. Esta seção tem como propósito apresentar os estes
21
escopos. Em geral todos os escopos de análise são considerados, já que a
implementação da segurança pretende corrigir o ambiente em que se encontram as
informações.
Uma análise de riscos tradicional é feita através de um conjunto de
atividades preestabelecidas que tem como objetivo identificar os processos a serem
considerados, saber quais são seus elementos ou partes constituintes e quais os
equipamentos necessários para realizá-los.
22
4 CICLOS DA SEGURANÇA
O ciclo de segurança inicia com a identificação das brechas/vulnerabilidades
que as empresas enfrentam. A identificação das ameaças permitirá a percepção dos
pontos fracos que podem ser explorados, expondo a organização á riscos de
segurança. Essa exposição leva a uma perda de um ou mais princípios básicos da
segurança da informação, causando impactos no negócio, aumentando os riscos em
que as informações da organização estão exposta. Para minimizarmos o impacto
dessas ameaças ao negócio, é necessário tomar algumas medidas de segurança
para impedir a ocorrência de pontos fracos.
Como podemos analisar, os riscos na segurança da empresa aumentam à
medida que as ameaças conseguem explorar as vulnerabilidades e, portanto,
provocar danos nos ativos. Esses danos podem fazer com que a confidencialidade,
a integridade ou a disponibilidade da informação se percam, causando impactos na
empresa.
As medidas de segurança permitem diminuir os riscos e, assim, fazer com
que o ciclo seja de muito menor impacto aos ativos e, para a empresa.
4.1 IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA
O sucesso da implantação de um sistema e uma política de segurança na
empresa depende em grande parte do profundo conhecimento dos processos
envolvidos nessa implantação. Uma vez recebida toda a informação necessária e
depois de comunicar os resultados a todo o pessoal da empresa, é possível até
mesmo, que o processo e a política de segurança possam ser implementados
seguindo algum padrão de reconhecimento internacional.
4.1.1 IMPLANTAÇÃO DA POLÍTICA
Uma política se encontra bem implementada quando:
•
Reflete os objetivos do negócio, ou seja, está sempre de acordo com
os requisitos necessários para alcançar as metas estabelecidas;
23
•
Agrega segurança aos processos de negócio e garante um
gerenciamento inteligente dos riscos;
•
Está de acordo com a cultura organizacional e está sustentada pelo
compromisso e pelo apoio da administração;
•
Permite um bom entendimento das exigências de segurança e uma
avaliação e gerenciamento dos riscos a que a organização está submetida.
A implantação da política de segurança depende de:
•
Uma boa estratégia de divulgação entre os usuários;
•
Campanhas, treinamentos, bate-papos de divulgação, sistemas de
aprendizagem;
•
Outros mecanismos adotados para fazer da segurança um elemento
comum a todos.
A política deve estar baseada na análise de risco e ter como objetivo a
padronização de ambientes e processos de forma a diminuir os riscos. Sua criação
está diretamente ligada à concretização dessa análise, pois, através do
levantamento
das
vulnerabilidades,
pode-se
elaborar
a
documentação
de
segurança, com o objetivo de minimizar os riscos de que as ameaças se
transformarem em incidentes.
Como todo processo de avaliação, uma política deve ter como base uma
estratégia de medição da eficácia, para poder avaliar o desempenho do
gerenciamento de segurança e os pontos fracos que precisam ser melhorados.
4.1.2 Temas da política
Para elaborar uma política, é necessário delimitar os temas que serão
transformados em normas. A divisão dos temas de uma política depende das
necessidades da organização, e sua delimitação é feita a partir de:
•
conhecimento do ambiente organizacional, humano e tecnológico;
•
compilação das preocupações sobre segurança por parte dos usuários,
administradores e executivos da empresa.
Alguns exemplos de temas possíveis são:
•
Segurança física: aceso físico, infraestrutura do edifício, datacenter.
24
•
Segurança
da
rede
corporativa:
configuração
dos
sistemas
operacionais, acesso lógico e remoto, autenticação, Internet, gerenciamento de
mudanças, desenvolvimento de aplicativos.
•
Segurança de usuários: composição de senhas, segurança em
estações de trabalho.
•
Segurança de dados: criptografia, classificação, privilégios, cópias de
segurança e recuperação, antivírus, plano de contingência.
•
Aspectos legais: práticas pessoais, contratos e acordos comerciais, leis
e regulamentações governamentais.
4.1.3 Uso da Política
Uma vez elaborada, a política de segurança é importante para garantir que
haja controles adequados após a sua implementação. Ela deve cumprir com pelo
menos dois propósitos:
•
Ajudar na seleção de produtos e no desenvolvimento de processos;
•
Realizar uma documentação das preocupações da direção sobre
segurança para garantir o negócio da empresa.
Quando a política é utilizada de forma correta, podemos dizer que traz algumas
vantagens como:
•
Permite definir controles em sistemas;
•
Permite estabelecer os direitos de acesso com base nas funções de
cada pessoa;
•
Permite a orientação dos usuários em relação à disciplina necessária
para evitar violações de segurança;
•
Estabelece exigências que pretendem evitar que a organização seja
prejudicada em casos de quebra de segurança;
•
Permite a realização de investigações de delitos nos computadores;
•
É o primeiro passo para transformar a segurança em um esforço
comum.
4.1.4 IMPLEMENTAÇÃO DA SEGURANÇA
25
Depois de se familiarizar com as ameaças e vulnerabilidades do ambiente,
identificados na análise de riscos, devemos tomar algumas medidas para a
implementação das ações de segurança recomendadas ou estabelecidas. Não basta
conhecer as fragilidades do ambiente ou ter uma política de segurança por escrito.
Devemos instalar ferramentas, divulgar regras, conscientizar os usuários sobre o
valor das informações. Devemos escolher e implementar cada medida de segurança
para contribuir com a redução das vulnerabilidades e, consequentemente, do risco.
Cada medida deve ser selecionada de tal forma que, quando em operação, alcance
os propósitos definidos. Esses propósitos precisam estar muito claros.
Vale lembrar que as ameaças são agentes capazes de explorar falhas de
segurança, que denominamos vulnerabilidades e, como consequência, causam
perdas ou danos aos ativos de uma empresa e afetam seus negócios.
4.1.5 Considerações importantes
São várias as medidas de proteção que recomendamos para a redução das
vulnerabilidades da informação. Entre outras:
•
Proteção contra vírus;
•
Implementação de firewall;
•
Controle de acesso aos recursos da rede;
•
Controle de acesso físico;
•
Sistemas de vigilância;
•
Detecção e controle de invasões;
•
Políticas gerais ou específicas de segurança;
•
Equipes;
•
Configuração de ambientes;
•
Treinamento;
•
Campanhas de divulgação;
•
Planos de continuidade;
•
Classificação das informações;
•
VPN – Virtual Private Network;
•
Acesso remoto seguro;
26
•
Monitoramento e gerenciamento da segurança;
•
ICP – Infraestrutura de chaves públicas.
Não esqueçamos que o objetivo da implementação das medidas de
segurança excede os limites da informática, definida no dicionário como "a ciência
cujo objetivo é o tratamento das informações através do uso de equipamentos e
procedimentos da área de processamento de dados". Por isso, devemos
compreender os ambientes que tratam das informações, não apenas nos meios
eletrônicos, mas também nos convencionais.
É inútil definir regras para criar e utilizar senhas difíceis de descobrir se os
usuários as compartilham ou escrevem em bilhetes e as colam ao lado do monitor. A
lista de exemplos a seguir nos permite ter uma ideia do que é necessário para a
proteção dos ativos na organização. São ações que não se aplicam a todos os
casos ou ambientes, portanto devemos analisar e escolher o grupo praticável de
atividades a implantar dentro de nossa empresa. Alguns exemplos de controles são:
•
Controle de acesso aos recursos da rede: Implementação de controles
nas estações de trabalho que permitam o gerenciamento do acesso, em diferentes
níveis, aos recursos e serviços disponíveis na rede;
•
Proteção contra vírus: Implementação de um software que evite e
detecte programas maliciosos, como vírus, cavalos de Tróia e scripts, para minimizar
os riscos de paralisações do sistema ou perda de informações;
•
Segurança para equipamentos portáteis: Implantação de aplicativos e
dispositivos para a prevenção de acessos indevidos e furto de informações;
•
ICP – Infraestrutura de chaves públicas: Consiste no emprego de
serviços, protocolos e aplicativos para o gerenciamento de chaves públicas que
forneçam serviços de criptografia e assinatura digital;
•
Detecção e controle de invasões: Implantação de uma ferramenta que
analise o tráfego de rede em busca de possíveis ataques, permitindo respostas em
tempo real e reduzindo, dessa forma, os riscos de invasões no ambiente;
•
Firewall: Sistema que controla o tráfego entre duas ou mais redes e
permite o isolamento de diferentes perímetros de segurança, como por exemplo, a
Intranet e a Internet;
27
•
VPN – Virtual Private Network: Torna praticável a comunicação segura
e de baixo custo. Utiliza uma rede pública, como a Internet, para vincular dois ou
mais pontos e permite o intercâmbio de informações com uso de criptografia;
•
Acesso remoto seguro: Torna possível o acesso remoto aos recursos
da rede empregando uma rede pública, como a Internet, por exemplo;
•
Segurança de correio eletrônico: Utiliza certificados digitais para
garantir o sigilo de informações e software para filtro de conteúdo, e protege a
empresa de aplicativos maliciosos que chegam por esse meio;
•
Segurança para os aplicativos: Implementação de dispositivos,
aplicativos e processos para garantir a confidencialidade, o sigilo das informações e
o controle do acesso, além da análise das vulnerabilidades do aplicativo, fornecendo
uma série de recomendações e padrões de segurança;
•
Monitoramento e gerenciamento da segurança: Implementação de
sistemas e processo para o gerenciamento dos eventos de segurança no ambiente
tecnológico, tornando possível um maior controle do ambiente para priorizar ações e
investimentos;
•
Segurança em comunicação móvel: Implementação de sistemas e
configurações para usuários de equipamentos móveis, como celulares e PDAs,
permitindo transações e intercâmbio de informações com segurança;
•
Segurança para servidores: Configuração de segurança nos servidores
para garantir um maior controle no que se refere ao uso de serviços e recursos
disponíveis;
•
Firewall interno: Este firewall funciona controlando o acesso a
servidores e redes críticas, minimizando os riscos de invasões internas a servidores
e aplicativos de missão crítica.
4.2 Planos de segurança
A partir da política de segurança, são definidas as ações que devem ser
implementadas
(ferramentas
de
software
ou
hardware,
campanhas
de
conscientização, treinamento etc.) para alcançar um maior nível de segurança.
Essas ações devem estar incluídas em um plano de segurança para priorizar as
principais ações em termos de seu impacto sobre os riscos e seus custos.
Estabelece, dessa forma, as ações de curto, médio e longo prazo.
28
4.2.1 Plano de ação
Uma vez definido e aprovado o plano de segurança, parte-se para a
definição do plano de ação para as medidas que devem ser implementadas.
4.2.2 Planejamento da implantação
Algumas das políticas podem durar vários dias e afetar a vários ambientes,
processos e pessoas da organização. Nesses casos, sempre é útil um planejamento
a parte.
Em alguns casos, uma plataforma de testes é necessária para avaliar a
solução e reduzir os possíveis riscos sobre o ambiente de produção.
4.2.3 Metodologia de implementação
Ao realizar a implementação propriamente dita, é muito importante seguir
uma metodologia que:
•
defina como dar os passos necessários para executar um plano de
•
mantenha um mesmo padrão de qualidade na implementação sem
ação;
importar quem o está executando.
Portanto, é importante definir como é realizado o acompanhamento do
progresso da implementação e, em caso de dificuldades, saber que ações tomar e
quem devem ser notificado.
4.2.4 Registro das atividades
Depois da implementação de uma nova medida de segurança, é importante
manter o registro do que foi implementado. Devem ser registradas informações
como:
•
o que foi implementado (ferramenta, treinamento etc.);
•
quais são os ativos envolvidos;
•
que dificuldades foram encontradas;
29
•
como foram superadas; até que ponto se alcançou o objetivo esperado
etc.
Este registro tem dois objetivos principais: manter o controle de todas as
medidas implementadas e aproveitar a experiência acumulada.
30
5 NORMAS DE SEGURANÇA DA INFORMAÇÃO
Segundo o Aurélio norma é aquilo que se estabelece como base ou medida
para a realização de alguma coisa. Quando não há padrões, podemos ter diversos
problemas como: baixa qualidade do produto, incompatibilidade com outros produtos
existentes, produtos não confiáveis ou até mesmo perigosos, além de não termos
como compará-lo com outros produtos, devido à falta de um referencial comum. As
normas contribuem para fazer com que os processos de fabricação e fornecimento
de produtos e serviços sejam mais eficientes, seguros e limpos. Ela facilita os
negócios entre fornecedores e clientes, seja no comércio local ou internacional, uma
vez
que
estabelece
padrões
a
serem
seguidos
por
todos,
garantindo
interoperabilidade entre serviços, processos e produtos. Conforme definido pela
Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização
são:
•
Comunicação: proporcionar meios mais eficientes na troca de
informação entre o fabricante e o cliente, melhorando a confiabilidade das relações
comerciais e de serviços;
•
Segurança: proteger a vida humana e a saúde;
•
Proteção do consumidor: prover a sociedade de mecanismos eficazes
para aferir qualidade de produtos;
•
Eliminação de barreiras técnicas e comerciais: evitar a existência de
regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando
assim, o intercâmbio comercial.
Diversas normas foram criadas especificamente para o tratamento da questão
sobre a segurança da informação. As características das principais normas para
gestão de ambiente de TI são apresentadas neste capítulo: ITIL, CobiT, BS 15000 /
ISO 20000, BS 7799, ISO/IEC 17799:2005(E) e ABNT NBR ISO/IEC 17799:2005.
Será também abordado o que é um sistema de gestão de segurança da informação
(SGSI). Algumas ferramentas para auxílio na implantação do SGCI, como MOF,
MSF e BSC.
As principais normas para práticas e controles de TI e para implantação de
processos de segurança de TI, que são:
•
ITIL;
31
•
BS15000 / ISO 20000;
•
CobiT;
•
BS 7799 / ISO 17799;
•
ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO
17799).
5.1 ITIL
O aumento nos investimentos e na complexidade das operações de TI levou
as empresas a buscarem modelos que sistematizassem:
•
A descrição e os objetivos dos vários serviços e ambientes de TI;
•
A representação de como esses serviços se inter-relaciona;
•
A orientação para a implementação destes serviços com sucesso.
O Information Technology Infraestructure Library (ITIL) é uma resposta a
essa busca. Trata-se de um conjunto de orientações desenvolvido pelo Office of
Government of Commerce (OGC), órgão do governo britânico. Descreve um modelo
de processo integrado com as orientações de melhores práticas para prover a
qualidade de serviços de TI. O ITIL foi criado em 1989. Seu desenvolvimento foi
motivado pelo reconhecimento da dependência de TI pelas organizações, o que
levou ao aumento da necessidade de qualidade de serviço no setor. Em 2000 o
OGC trabalhou em conjunto com o British Standards Institution (BSI) e o ITService
Management Forum (itSMF) na revisão da documentação do ITIL. Assim, o BSI
Management Overview (PD0005), a BS15000-1 (Especificações para gestão de
serviços) e a série ITIL formam parte da mesma estrutura lógica.
O BSI Management Overview é uma introdução às orientações detalhadas
do ITIL. A documentação ITIL oferece informações expandidas e um guia para os
assuntos tratados na BS15000. Os objetivos do ITIL são:
Fornecer um guia para a gestão estratégica, tática e operacional para a
infraestrutura de TI;
•
Melhorar a eficiência;
•
Reduzir riscos;
32
•
Prover compatibilidade com os requerimentos da ISO9001.
As melhores práticas do ITIL cobrem cinco processos que suportam os
serviços:
•
Gestão de incidentes;
•
Gestão de problemas;
•
Gestão de mudanças;
•
Gestão de configurações;
•
Gestão de fornecimento.
O ITIL também inclui cinco processos de fornecimento de serviço:
•
Gestão de capacidade;
•
Gestão financeira;
•
Gestão de disponibilidade;
•
Gestão de nível de serviço;
•
Gestão de continuidade de serviços de TI.
Nas palavras de Malcom Fry em entrevista a ITWEB em 25/11/2003, os dois
valores mais óbvios para as empresas que adotam o ITIL são: “um é o vocabulário
comum compartilhado pelos profissionais de TI das empresas usuárias e dos
fornecedores de software. Isso reduz confusões, aumenta o entendimento e
aperfeiçoa a comunicação entre eles. O outro é ambas as equipes e gerentes
passam a entender o funcionamento dos processos de trabalho de serviços de TI a
partir de uma mesma fonte”.
5.2 COBIT
O Control Objectives for Information and related Technology - CobiT - é um
conjunto de práticas que visam auxiliar a gestão e controle de iniciativas de TI nas
empresas reduzindo os riscos correspondentes. Sua primeira edição foi publicada
em 1996 pela Information System Audit and Control Foundation – ISACA -.
33
Atualmente encontra-se na sua quarta edição publicada em dezembro de 2005. O
tema principal do CobiT é a orientação aos negócios. É desenhado para ser
empregado não somente por usuários e auditores, mas principalmente para servir de
guia para os proprietários dos processos dos negócios. O modelo do CobiT fornece
ferramentas para facilitar a distribuição de responsabilidades pela diretoria de
negócios. O modelo inclui uma série de 34 objetivos de controle, um para cada
processo de TI, agrupados em 4 domínios:
•
Planejamento e organização;
•
Aquisição e implementação;
•
Fornecimento e suporte;
•
Monitoramento e avaliação.
Esta estrutura cobre todos os aspectos da informação e da tecnologia que a
suporta. Através dos 34 objetivos de controles, a direção de processos do negócio
pode se assegurar que um sistema de controle é fornecido para o ambiente de TI.
Os domínios norteiam a implantação de processos que conduzirão aos corretos
investimentos nos recursos de TI (dados, aplicações, tecnologia e pessoas). A partir
do levantamento detalhado dos processos, é possível determinar o que se deseja e
o que é necessário para atingir esse objetivo. As orientações de gestão CobiT são
genéricas e orientadas a ações com o propósito de responder questões de
gerenciamento como:
•
Aonde eu posso chegar e se os custos são justificados pelo benefício?
A resposta a essa questão permite mapear onde a organização está como ela se
posiciona em relação às melhores organizações do seu ramo e em relação aos
padrões internacionais, e onde a organização deseja chegar;
•
Quais são os indicadores de desempenho? Aqui são definidos os
indicadores que medirão se o desempenho dos processos de TI está na direção
correta para se atingir os objetivos.
•
Quais são os fatores críticos de sucesso? Isso definirá orientações de
implementação para se alcançar o controle sobre os processos de TI;
•
Quais os riscos de não se atingir os objetivos? É uma forma clara de se
enxergar em que terreno vai pisar e conhecer os riscos do negócio;
34
•
Como medir e comparara resposta definirá as medidas que informarão
à gerência, após o evento, se o processo de TI alcançou os requerimentos do
negócio.
5.3 BS 15000 / ISO 20000– NORMAS DE GESTÃO DE SERVIÇOS
A BS 15000 foi a primeira norma formal para gestão de serviços de TI
(Tecnologia da Informação) desenvolvido pela British Standards Institution (BSI). Foi
publicada em 15 de novembro de 2000. Embora seja baseada no modelo de
processos do ITIL, fornece especificações claras para implementação de um
processo de gestão de TI. O escopo da norma abrange um sistema de gestão de
serviços de TI e forma a base para a avaliação dessa gestão. O esquema de
certificação foi formalmente lançado em 1o de julho de 2003 e é administrado pelo IT
Service Management Forum (itSMF). Baseado diretamente na norma fornece
certificação para sistemas de gestão de TI. A BS 15000 define uma série de
processos para a gestão de serviços. A parte 1 especifica 13 processos e é a base
para implementar e certificar um sistema de gerenciamento para fornecimento de
serviços de TI. A parte 2 é um código de práticas que amplia os requerimentos da
Parte 1. Juntas elas fornecem ferramentas completas para as empresas entenderem
como melhorar os serviços fornecidos a seus clientes, sejam eles internos ou
externos. O escopo da norma cobre os seguintes itens:
•
Escopo dos serviços de sistema de gestão;
•
Termos e definições;
•
Planejamento e implementação dos processos de gestão de serviços;
•
Planejamento e implementação de gestão de novos serviços ou
modificações destes.
Essa norma é destinada a provedores de serviço, em especial para
provedores de serviços de TI. Entretanto seus requerimentos são independentes do
tipo de organização e podem ser aplicados a empresas grandes e pequenas de
qualquer setor.
Em 16 de dezembro de 2005 foi publicada pela ISO a nova norma ISO
20000. Ela evoluiu a partir da norma BS 15000. As alterações em relação ao BS
35
15000 são mínimas, mas passa a ser um formato internacional mais adequado para
aplicação em diversos países.
Assim, como sua predecessora, a ISO 20000 é dividida em duas partes: a
ISO 20000-1, promove a adoção de processos integrados para a gestão de serviços
a fim de alcançar os requerimentos dos clientes e do negócio. A ISO 20000-2 é um
código de práticas e descreve as melhores práticas para a gestão de serviços dentro
do escopo da ISO 20000-1.
A transição da BS15000 para a ISO/IEC 20000“A norma ISO/IEC 20000
substituiu a BS 15000 em 5 de dezembro de 2005. Certificações contra a BS 15000
continuarão até junho de 2006 para habilitar aqueles que já iniciaram a conclusão do
processo de certificação.
36
6 ATAQUES
Muitos administradores não se preocupam com os dados trafegados em sua
rede, contudo esteja funcionando. Se você não pensar em opções de análise antes
que seja tarde demais, esta análise provavelmente falhará.
Uma análise dos dados que trafegam você pode solucionar problemas, localizar
computadores, detectar intrusões ou vírus na rede.
6.1 SISTEMA DE DETECÇÃO DE INTRUSÃO - IDS
Atualmente, muitos especialistas em segurança da informação enfrentam o
constante crescimento da tecnologia como um risco á sua organização. São muitas
as informações que estão armazenadas nos servidores e outros dispositivos de
armazenamento que se tornam alvo á pessoas mal intencionadas com o intuito de
se beneficiar vendendo informações. Com o intuito de minimizar qualquer tipo de
impacto contra a sua organização, os profissionais da tecnologia da informação
dispõem de softwares e hardware que identificam possíveis ataques.
O IDS também chamado de sistema ativo, pode ser instalado em um
computador como um software e também pode ser um meio físico como um
appliance. Esta ferramenta inspeciona todo o trafego ativo da rede, entrada e saída.
Um sistema de detecção de invasão reúne e analisa informações a partir de um
computador ou rede, para identificar possíveis violações de política de segurança e
acesso não autorizado. Podemos chamar um IDS de sniffer de pacotes, pois ele
intercepta estes pacotes. Os dados são analisados depois de serem capturados. Se
o sistema de detecção de intrusão achar este pacote suspeito, ele envia um alerta.
Existe uma variedade de sistemas de detecção de intrusão.
6.1.1 Baseado em rede (NDIS)
O sistema de detecção de intrusão de rede é um típico IDS que analisa o
tráfego em todas as camadas do modelo OSI, ou seja, em todas as camadas de
rede e analisa as atividades suspeitas. O NIDS é instalado em segmentos de rede,
onde analisa alguns pacotes de rede para comparar se há algo malicioso.
6.1.2 Baseado em anomalias (NBAD)
37
Este tipo de tecnologia é baseado nas estatísticas dos eventos do tráfego da
rede. São dispostos alguns sensores em pontos chaves, como switches e DMZ. Este
tipo de detecção é útil para buscar na rede ataques DoS (Denied of Services) e
worms.
6.1.3 Baseado em computador (HIDS)
Um sistema de detecção de intrusão baseado em computador (HIDS),
analisa o trafego local, as políticas de segurança local, logs de auditorias, monitora
entradas e quaisquer outros tipos de código que represente uma tentativa de
invasão. Requer uma máquina com um sistema operacional com configurações
específicas para suportar os aplicativos juntamente com o IDS.
6.2 TIPOS DE DETECÇÃO
6.2.1 Detecção baseada em assinatura
Cada evento que ocorre na rede possui uma assinatura. Um IDS baseado
em assinatura é simples e fácil de configurar. Esta detecção é a forma mais rápida
de validar um ataque contra a organização, porém pode-se tornar ineficiente caso o
atacante tenha conhecimento para alterar a assinatura do evento.
6.2.2 Detecção baseada em anomalias
Um IDS analisa os tráficos na rede e detecta dados que são erroneamente
formados, inválidos e anormais. Digamos que um cabeçalho de um pacote comum
tenha dados inválidos, o IDS indicará uma irregularidade o que se torna uma
ameaça.
6.2.3 Detecção baseada em estado
Este protocolo é similar à detecção baseada em anomalias, porém analisa
também as camadas de rede e transporte.
38
6.2.4SISTEMA DE PREVENÇÃO DE INTRUSÃO– IPS
Já os IPS’s são sistemas ativos, mas também reativos. Podemos dizer
também que o IPS é um IDS aprimorado. Isto porque ele é capaz de interferir no
ataque, tomando decisões próprias, e impedir o código malicioso. Existem alguns
IDS’s que também são IPS’S, porém devem ser realizadas algumas configurações
adicionais.
6.2.5.4 FIREWALL
Um firewall é um sistema cujo objetivo é bloquear o tráfego de entrada ou
saída que não seja permitido pelos administradores da rede. Ele protege a rede
privada das outras redes e de usuários não autorizados. Geralmente situado no
ponto de junção entre duas redes, tornando a rede após o firewall uma rede privada,
a qual somente usuários autorizados terão acesso á ela. Firewall também contribui
com a proteção da rede.
O firewall examina todo o tráfego entre as redes para verificar determinados
critérios como: rotas de pacotes entre as redes, filtro de tráfego de entrada e saída,
atua no gerenciamento de acesso á rede privada, grava informações de logs sobre
as solicitações de entrada. O firewall pode ser configurado de várias maneiras.
Quem decide como o que o firewall pode permitir ou bloquear é o administrador da
rede. Uma boa política de rede seria negar tudo e permitir o essencial.
39
7 EXEMPLOS PRÁTICOS
7.1 Enumeration com Cain & Abel
Cain & Abel é uma ferramenta excelente para enumerations, arp poisoning,
sniffer de rede entre outros recursos. Iremos utilizá-la para descobrir quais usuários
encontram-se ativos. Conseguiremos conectar no alvo, se ele estiver permitindo
sessão nula. Esta falha permite-nos listar nomes de grupos, usuários e
compartilhamentos.
Figura 1 – Cain & Abel, software para realizar enumeration.
Podemos concluir que, os usuários administrador e User01 encontram-se
ativos. Com o hydra, agora temos um usuário específico para quebrar a senha.
7.2Quebrando senha
Após a instalação do Hydra em seu sistema operacional, vamos realizar uma
tentativa de quebra de senha com wordlist. Eu criei uma lista de usuários e uma
wordlist para este teste. Para deixar o aplicativo realizar as tentativas, execute o
seguinte comando: Hydra –l administrador –P wordfinal.txt –t 36 –m Both
192.168.137.76 smb
40
Figura 2 – Tela Shell do Debian tentando quebrar senha.
–l administrador define a conta que irá ser atacada.
-P wordlist.txt define a wordlist com possíveis senhas.
-t 36 indica que serão executadas 36 tarefas em paralelo
-m Both 192.168.137.76 indica que é só este host o alvo
smb indica o tipo de protocolo
Para mais informações você poderá digitar man hydra em seu console que será
exibido todas as opções disponíveis.
Algum tempo depois:
41
Figura 3 – Termino de quebra de senha.
O aplicativo nos mostra a senha do administrador como root.
7.3 Ataque usando Metasploit
Neste exemplo deveremos ter instalado em nosso sistema operacional Linux
Debian, uma ferramenta chamada Metasploit. Vamos aos passos.
Após instalar a ferramenta, entrar na pasta /msf e digitar ./msfconsole
42
Figura 4 – Tela inicial metasploit.
Esta tela exibe em vermelho que a última atualização foi realizada há 10
dias. Iremos utilizar um sistema operacional Microsoft Windows 2000 Professional,
instalado em uma máquina virtual, como nosso alvo. Iremos verificar se
conseguimos encontrar o alvo.
Figura 5 – Contatando o alvo
43
.Conseguimos
contatar o alvo. Já com a ferramenta nmap instalada em nosso
sistema, iremos fazer um scan no alvo para verificar quais portas estão abertas.
Iremos utilizar estas opções:
-sV é um scan para identificar portas e informações de serviços e versões
-O para identificar o sistema operacional do alvo
192.168.137.76 é o ip do alvo
O comando fica assim: nmap –sV –O
192.168.137.76
Figura 6 – Executando um scan de portas no alvo.
O comando nos trouxe as portas abertas, o tipo de serviço que esta em
execução e que o sistema no alvo é Windows. Após verificar as portas abertas,
devemos verificar qual exploit atende aquela falha, no nosso caso o exploit a ser
utilizado será /Windows/smb/ms08_067_netapi
44
Figura 7 – Exibindo os exploits disponíveis.
Após a escolha correta, devemos indicar o ip do alvo.
Figura 8 – Indicando Alvo.
Agora utilizaremos o payload windows/shell/bind_tcp
45
Figura 9 – Utilizando payload.
E para concluirmos, digitar exploit para iniciar a sessão na máquina de
destino.
Figura 10 – Exibindo o alvo e a máquina do atacante com o shell do alvo.
Se você analisar a figura acima poderá ver que ele irá trazer o sistema
operacional. Fizemos um último teste para concluir o ataque que foi criar uma pasta
no alvo.
46
Figura 11 – Exibindo arquivos no alvo via shell.
Concluímos assim um ataque com sucesso.
7.3.4 Instalando e validando um ataque com NIDS
A instalação do sistema operacional foge deste foco, tal motivo leva a não
exemplificar a instalação do mesmo. Deve-se ter instalado o mysql na máquina que
servirá de IDS. Esta instalação será aplicada em uma máquina virtual com um
sistema operacional Linux Debian. Descreverei os passos para instalar um NIDS.
Utilizaremos o software chamado Snort, que é um software livre de detecção de
intrusão de rede.
Após estar com a máquina recém-instalada com o sistema operacional
Debian Linux, executar o comando apt-get update para atualizar o sistema.
A seguir, digite apt-get install snort-mysql snort-rules-default Este comando
instalará o snort em uma base mysql já criada e as regras padrão do aplicativo.
47
Figura 12 – Comando necessário para instalar a aplicação e dependencias.
Após isto, será solicitado uma confirmação para continuar a instalação.
Tecle Y
Figura 13 – Aceitando arquivios necessários.
48
Após
este
passo,
ele
solicitará
a
você
inserir
a
faixa
de
rede.
Figura 14 – Configurando a rede a escutar.
No meu caso eu usei o vim, mas você poderá usar seu editor favorito para
acessar o seguinte caminho /etc/snort/snort.debian.conf.
Figura 15 – Comando para exibir as configurações do SNORT.
49
Neste passo, validaremos as configurações.
Figura 16 – Exibindo as configurações do SNORT.
Caso
alguma
configuração
DEBIAN_SNORT_HOME_NET=”192.168.0.0/16”
esteja
incorreta
como
ou
DEBIAN_SNORT_INTERFACE=”eth0” poderá efetuar as alterações. O NIDS varrerá
a rede que estiver descrita neste arquivo. Após realizarmos as alterações
necessárias devemos reiniciar o snort com o seguinte comando: /etc/init.d/snort
restart
50
Figura 17 – Reiniciando Serviço.
Pronto, nosso NIDS esta instalado. Agora iremos monitorar os logs.
tail –f /var/log/snort/alert é um comando para exibir as últimas alterações em
tempo
real
Figura 18 – Comando para iniciar o monitoramento.
do
arquivo.
51
No momento do ataque, o Snort (NIDS) detecta e exibe um alerta. Com isto
concluímos com sucesso um ataque e também a detecção do mesmo
Figura 19 – Detectando no momento da intrusão.
52
8 CAUSAS E RECOMENDAÇÕES
8.1 POSSÍVEIS CAUSAS DE TROJANS OU INVASÕES
Quando há algum tipo de ataque á uma máquina, o atacante deixa sempre
uma possível lacuna aberta que somente ele saberá explorar para conseguir o
acesso mais rápido á máquina. Sugerimos algumas causas que podem indicar um
trojan, malware ou qualquer arquivo malicioso no computador da vítima.
• Modificações de configurações de softwares;
• Baixo desempenho do sistema;
• Computador reiniciando regularmente
• Buscar por logs e os mesmos não existirem;
• Permissões inesperadas em pastas;
• Arquivos desconhecidos nos computadores;
• Serviços parados;
• Serviços desconhecidos em execução ou na inicialização;
• Impossível instalação de um antivírus;
• Nomes não comuns em pastas;
• Firewall desabilitado;
• Netstat –n exibe conexões estabelecidas com portas incomuns;
• Processos desconhecidos sendo executados;
8.2 RECOMENDAÇÕES DE SEGURANÇA
Podemos implementar medidas de segurança para contas de usuários para
definir o que os usuários podem fazer nas máquinas e também definir medidas de
segurança para senhas. Estas são chamadas de diretivas de segurança, podendo
ser aplicada em um controlador de domínio e também localmente. As diretivas
afetam diretamente as configurações de segurança da conta de computador. Um
método básico para aumentar a segurança é aumentando a complexidade de nossa
senha.
Segue algumas recomendações para aumentar a segurança da senha:
•
Instalar um IDS/IPS;
53
•
Evitar que o Windows armazene hashes LM de sua senha;
•
Evitar iniciar uma sessão nula;
•
A senha deve satisfazer os requisitos de complexibilidade;
•
Habilitar o histórico de senha;
•
Habilitar a alteração de senha a cada 30 dias;
•
Bloquear a conta caso seja efetuada 3 tentativas inválidas;
•
Pode-se limitar a conta de usuário a realizar logon em determinados
horários;
•
Armazenar senhas usando criptografia reversível;
•
Comprimento mínimo de senha;
•
Desabilitar conta convidado;
•
Não permitir enumeração de contas SAM e compartilhamentos;
•
Auditar eventos de logon;
•
Não exibir o último nome de logon;
•
Definir tempo máximo de logon inativo;
•
Atribuir direitos de acesso a somente usuários autenticados;
•
Permitir logon via acesso remoto somente para administrador;
•
Negar acesso a rede para usuário anônimo e convidado;
•
Desabilitar Autorun em todos os drivers;
•
Manter somente serviços essenciais rodando;
•
Habilitar firewall e criar regras;
•
Manter o computador com as últimas atualizações;
•
Executar o Microsoft Baseline Security Analyzer (MBSA) para buscar
por vulnerabilidades em uma máquina ou em várias máquinas;
•
Fechar portas desnecessárias ou redirecionar para uma porta não
comum;
•
Ter um bom antivírus instalado na máquina;
•
Remover contas/usuários desnecessários;
•
Restringir que o usuário defina tarefas de agendamento;
•
Desabilitar banners de serviços;
•
Assegurar que o volume seja NTFS;
•
Desabilitar interface NetBios.
54
9 CONCLUSÃO
Diante do cenário apresentado neste documento, pode-se perceber a
importância que a informação ganhou nas organizações e o quanto é ainda mais
importante protege-la.
Ao adotar as normas de segurança e os métodos de proteção propostos, é
esperado que as organizações possam realizar a gestão da segurança da
informação de maneira adequada bem como gerenciar riscos e incidentes
relacionados.
Sem a gestão efetiva de segurança da informação não é possível uma
organização sobreviver. Todos os colaboradores da organização devem cooperar, e
a direção da companhia deve servir de exemplo, somente quando eles apoiam tal
processo, é que funcionários vão tratar com seriedade a segurança da informação e
colaborar com as medidas definidas.
Segurança da informação é um processo no qual muitas pessoas estão
envolvidas. O processo necessita ser efetivamente controlado. Se não houver
responsabilidade ou gestão, então a segurança da informação não será efetiva. É
importante que a segurança da informação seja gerenciada independente do
tamanho e da natureza da organização
55
REFERÊNCIAS
ARAÚJO, Marcio. Governança em Tecnologia da Informação. Disponível em:
www.issabrasil.org/artigos_0021.asp.Acesso em: 17 dez 2011.
BEAL, Adriana. Segurança da informação: princípios e melhores praticas para a
proteção dos ativos de informação nas organizações. São Paulo: 1.ed. Atlas, 2005.
Crepaldi. Silvio Aparecido. Auditoria Contábil: Teoria e Prática. 7. ed. Atlas, 2011.
BAUER, César Adriano. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA
REDES CORPORATIVAS. Novo Hamburgo, mar. 2006.
Entrevista de Marcello Rachlyn, diretor de operações da EuroSign Certificadora
Digital, a câmara Brasileira de Comércio Eletrônico – 03/05/2006, obtida em
http://www.camara-e.net/interna.asp?mostra=0&tipo=1&valor=3654. Acesso em: 17
dez 2011.
FIGUEIREDO, Kleber. Gestão da Capacidade e da Demanda em Serviços
Logísticos.Disponível em: http://www.cel.coppead.ufrj.br/fs-busca.htm?frgestao.htm.Acesso em: 17 dez 2011.
HACKERS LIBRARY.Cain & Abel tutorial 1.Disponível em
http://www.thehackerslibrary.com/?p=414. Acesso em 27 nov. 2011.
HARPIA. Tutorial de instalação do Snort no debian/Lenny. Disponível em:
http://www.harpiatec.com/2010/12/01/tutorial-de-instalacao-do-snort-no-debianlenny/.
Acesso em 28 nov. 2011.
INTRODUÇÃO Á SEGURANÇA DA INFORMAÇÃO. MODULO 1.1. Disponível em:
http://jpinheiro.net/TADS_N20/Aula%201%20%20Introdu%C3%A7%C3%A3o%20%C3%A0%20Seguran%C3%A7a%20da%20Inf
orma%C3%A7%C3%A3o.pdf. Acesso em: 09 de abril de 2012
JUNIOR, André S. Rosa. The Brute Force Attack.Disponível em
http://segurancalinux.com/artigo/The-Brute-Force-Attack. Acesso em 27 nov. 2011.
MAKKER, Aneesh M. Metasploit Tutorial - With an example | Exploiting the
vulnerabilities. Disponível em: http://www.explorehacking.com/2011/03/metasploittutorial-with-example.html. Acesso em 28 nov. 2011.
MAYNOR, David.Metasploit Toolkit for Penetration Testing, Exploit Development,
and Vulnerability Research.1. ed. EUA: Syngress 2007.
Microsoft Technet - ACADEMIA LATINO-AMERICANA DE SEGURANÇA DA
INFORMAÇÃO. Curso básico de segurança da informação. Disponível em:
http://pt.scribd.com/doc/75148711/24/AS-AMEACAS. Acesso em 09 de abril de
2012.
56
Microsoft Technet - ACADEMIA LATINO-AMERICANA DE SEGURANÇA DA
INFORMAÇÃO. Entendendo e implementando a Norma ABNT NBR ISO/IEC
17799:2005.
http://www.technetbrasil.com.br/academia/provas/materiais/Apostila_ISO17799_Mod
ulo1.pdf. Acesso em: 09 de abril de 2012.
Microsoft Technet - ACADEMIA LATINO-AMERICANA DE SEGURANÇA DA
INFORMAÇÃO. Introdução á ABNT NBR ISO/IEC
17799:2005.ftp://ftpaluno.umc.br/PROFS/Flavio_Amate/2011.1/SEG/ISO17799_Mod
ulo3.pdf. Acesso em: 09 de abril de 2012.
Microsoft Technet - Academia Latino-Americana de Segurança da informação.
Introdução á segurança da Informação. Disponível
em:http://pt.scribd.com/doc/52285515/13/PROTEGER-A-DISPONIBILIDADE-DAINFORMACAO. Página 25. Acesso em 09 de abril de 2012.
MÓDULO SECURITY. Introdução à segurança da Informação. Microsoft Technet Academia Latino-Americana de Segurança da informação. Scribd, 2006. Disponível
em: <http://pt.scribd.com/doc/52285515/13/PROTEGER-A-DISPONIBILIDADE-DAINFORMACAO>. Acesso em: 09 abr. 2012.
NMAP. Guia de Referência do Nmap. Disponível em: http://nmap.org/man/pt_BR/.
Acesso em 28 nov. 2011.
Offensive Security Training and Services.Exploits. Disponível em:
http://www.offensive-security.com/metasploit-unleashed/Exploits. Acesso em 28
nov.2011.
Offensive Security Training and Services.Msfconsole. Disponível em:
http://www.offensive-security.com/metasploit-unleashed/Msfconsole. Acesso em 28
nov.2011.
Offensive Security Training and Services.Payloads. Disponível em:
http://www.offensive-security.com/metasploit-unleashed/Payloads. Acesso em 28
nov.2011.
OPENMANIAK.SNORT - The Easy Tutorial.Disponível em:
http://openmaniak.com/snort_tutorial_snort.php. Acesso em: 28 nov. 2011.
OXID IT. Cain & Abel Download. Disponível em: http://www.oxid.it/cain.html. Acesso
em 26 nov. 2011.
PROTEGER A DISPONIBILIDADE DA INFORMAÇÃO. Disponível em:
http://webcache.googleusercontent.com/search?q=cache:46M6-V0lGIJ:pt.scribd.com/doc/52285515/13/PROTEGER-A-DISPONIBILIDADE-DAINFORMACAO+&cd=2&hl=pt-BR&ct=clnk&gl=br. Acesso em: 09 de abril de 2012.
57
GLOSSÁRIO
ABNT: Sigla de Associação Brasileira de Normas e Técnicas.
Antivírus: Sistema de segurança que atua no combate á softwares maliciosos, ou
seja, contra vírus. Atua na prevenção em tempo real e também realizando uma
varredura no sistema.
Appliance: É um hardware capaz de realizar algumas tarefas específicas. Assim
como um sistema instalado em um computador, este é instalado em um hardware
especifico para tal.
Arp: Address Resolution Protocol, protocolo ARP é usado para encontrar um
endereço MAC a partir de um endereço IP.
Arp poisoning: É um ataque no qual uma falsa resposta arp é encaminhada a uma
solicitação arp original. Um atacante pode interceder e enviar um “envenenamento”
fazendo com que as informações passem por uma fonte não confiável.
Autorun: Aplicativo capaz de ser executado automaticamente sem a intervenção do
usuário.
Banners: Mensagens ou informações que facilitam a identificação de um serviço.
British Standards Institution (BSI): É uma multinacional provedora de normas e
serviços.
Brute-force: É um tipo de ataque que utiliza de tentative e erro. Adicionando uma
wordlist, ele usará todas as palavras que contem na wordlist para tentar autenticarse ou inicar um sistema ou serviço.
BS 15000 : foi a primeira norma formal criada pela BSI para gestão de serviços de
TI.
58
BS 15000 / ISO 20000: Esta norma testa se as melhores praticas oferecidas, foram
realmente adotadas pela entidade.
BS 7799: Quando publicada em 1995 em sua primeira edição, é a pratica planejada
para usar como referencia na segurança das informações.
BS 7799-2: Esta norma apresenta um Sistema de Gestão da Segurança da
Informação.
BS/ISO/IEC 17799: Um conjunto de informações aplicáveis na segurança da
informação de qualquer organização.
BS15000-1: define o que é necessário para atingir as boas práticas da gestão de
serviços.
BS7799-3: É uma norma que apresenta um modelo para gestão de riscos
BSC–Balanced Scorecard: Ferramenta capaz de auxiliar e por em prática o plano
estratégico da empresa.
Cain & Abel: Utilitário para escanear sistemas e redes.
Comercial Computer Security Centre: Centro de segurança da computação.
Control Objectives for Information and related Technology– CobiT:é um guia de
boas praticas direcionado para a gestão de Tecnologia da informação.
Crackers: Pessoas com alto nível de conhecimento, que querem prejudicar
empresas ou usuários.
Criptografia: Método utilizado para codificar dados, afim de que ninguém consiga
descobrir ou alterar as informações.
Debian: Versão do Sistema Operacional Linux.
59
DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION
CRITERIA (TCSEC): É um dos departamentos de defesa que estabelece requisitos
para avaliar a confiança dos sistemas de computadores
DoS (Denied of Services): Ataque do tipo negação de serviço. O atacante tenta
tornar o computador ou a rede indisponíveis a outros usuários.
Enumeration: Técnica usada para extrair usuários, nome de compartilhamentos,
recursos de redes e serviços.
Exploit: Programas que utilizam das vulnerabilidades existentes em softwares para
conseguir o acesso e atacar computadores e ou redes.
Firewall: Sistema desenvolvido para bloquear acessos indesejáveis ou prejudiciais
para dentro da rede.
Hackers: Pessoas com alto nivel de conhecimento afim de ajudar os usuários e
empresas a se protejer de códigos maliciosos, usuarios maliciosos, programas
indesejáveis e invasões.
Hardware: Parte física do computador, conjunto de meios eletrônicos como placas e
barramentos presentes em um computador.
Hashes:É uma sequencia de letras/numeros gerado por um algoritmo que busca
gerar uma informação unicamente. Atraves de um software hash você pode verificar
se o arquivo que você baixou da internet sofreu alterações até o seu computador, ou
se o hash for igual então o arquivo encontra-se integro.
Host:Indica um computador.
Hydra: Ferramenta capaz de quebrar a senha utilizando método brute-force
60
IDS: Sistema de detecção de intusão, capaz de monitorar uma rede e enviar alertas
informando que a rede esta sendo atacada.
Information System Audit and Control Association – ISACA: É uma associação
internacional com fins de controle e auditoria de sistemas de informação.
Information Technology Infraestructure Library (ITIL): É um modelo
mundialmente mais aceito para o gerenciamento de processos para TI.
Internet: É a conexão de várias redes. Pode-se pensar que um provedor é como
uma rede, assim, ele se conecta a outro provedor, que se conecta a varios
provedores, formando assim várias redes denominada internet.
Information Security Management System (ISMS): É o mesmo que SGSI.
ISO: Organização internacional de padronização, responsável por normas de
padronização mundialmente conhecida.
ISO 20000: Norma da ISO responsável por definir as melhores praticas para o
gerenciamento dos serviços de Tecnologia da Informação.
ISO 20001: A norma que visa melhorar o planejamento, gestão, entrega e a melhoria
dos serviços de Tecnologia da Informação.
ISO 20002: Organiza os controles de segurança da informação, reunindo as
melhores práticas para a segurança da informação realizada mundialmente
ISO 27000:
ISO 27001: Publicada em outubro de 2005, substitui a BS7799-2, tornando-se a
norma para certificação da segurança da informação.
ISO 27002: São recomendações das melhores práticas recomendadas para o
gerenciamento da segurança da informação.
61
ISO 27003:Não oficialmente tratar-se-á de um guia de implementação.
ISO 27004: Voltada para a medição da efetividade da implementação do SGSI e dos
controles de segurança da informação implementados.
ISO 27005:Novo padrão para gerenciamento de riscos.
ISO 27006:Este documento tem o título provisório de Guidelines for information and
communications technology disaster recovery services, baseada na SS507, padrão
de Singapura para continuidade do negócio e recuperação de desastres. Ainda sem
previsão para publicação.
ISO/IEC 17799:2005: Esta norma foi cancelada e substituida pela norma ISO/IEC
27002:2005.
ISO/IEC 20000: Norma internacional para gerenciamento de serviços.
IT Service Management Forum (itSMF): Serviço que fornece certificação para área
de TI.
Linux: É um sistema operacional aberto.
Logon: Utilizado para identificar que um usuario ou serviço adentraram um sistema.
Logs: Um conjunto de informações a fim de detectar alguma atividade que não
ocorreu, ou ocorreu de forma inesperada.
Malware: É uma definição genérica para um sistema mau-intencionado a fim de
danificar seu computador. São exemplos de malwares; virus, worms, blackdoors,
cavalo de tróia.
Man: Comando para poder consultar o manual de determinado serviço.
62
Metasploit: Ferramenta utilizada para realizar ataques, conseguir iniciar sessões em
computadores.
Microsoft Baseline Security Analyzer (MBSA): Aplicativo de segurança
proprietario da Microsoft. Ajuda a verificar possíveis vulnerabilidades.
MOF – Microsoft Operations Framework: É um “modelo ITIL” aplicado a
tecnologias Microsoft, além de reunir orientações de como planejar, empregar e
manter a excelencia nos processos.
MSF - Microsoft Solutions for Framework: É um modelo para a implementação de
soluções criado pela Microsoft que reúne recursos, pessoas e técnicas.
MySql: É um sistema gerenciador de banco de dados que utiliza a linguagem SQL.
National Institute of Standards and Technology - U.S. Department of
Commerce: Instituto nacional de padrões e tecnologia.
NBR ISO/IEC 17799:2000: É um conjunto de orientações para a obtenção das
melhores práticas.
Netstat –n: Comando para identificar portas abertas e com conexões estabelecidas.
NIDS: Sistema de detecção de intrusão de rede. Responsável por analisar todo
otrafego da rede.
NIST Handbook: É um manual que informa os benefícios de controle de segurança.
Nmap: Ferramenta utilizada para realizar um scaneamento, buscar falhas,em um
computador.
Office of Government of Commerce (OGC): É parte do grupo de gabinete e
reforma do governo do Reino Unido.
63
Payload: Uma solicitação mau-intencionada, provocada geralmente por um
malware.
Protocolo: Uma convenção, um padrão de linguagem entre duas aplicações.
SAM: Nome da conta exclusive do usuario.
Scan: Significa “varredura”. Procurar por vulnerabilidades/brechas.
Scripts: Programas que inicializam automaticamente, pequeno conjunto de
commandos para executar uma ação.
Security Controls for Computer Systems: Report of Defense Science Boad
Task Force on Computer Security - The Orange Book: É um livro que relata sobre
os systemas que controlam a segurança dos computadores, exibem relatórios e
detalham tarefas.
SGSI - Sistema de Gestão da Segurança da Informação: É um conjunto de
processos e procedimentos baseados em normas e legislações visando atingir a
segurança de seu parque tecnológico.
SMB: Server Message Block – Protocolo que atua a nivel de rede, aplicado á
arquivos compartilhados, impressora e outros recursos.
Sniffer: Software para executar uma “escuta” na rede ou em um computador
específico.
Snort: É uma ferramenta instalada em um computador para detectar invasões ou
ataques.
Softwares: Programas que são instalados em um computador.
Switches: Dispositivo utilizado na rede para segmentar, encaminhar pacotes de
dados nas redes locais.
64
TI: sigla para especificar Tecnologia da Infomação.
Trojans: São instalados diretamente nos computadores das vítimas, não se
replicando a outros computadores. Por isto não são considerados virús, embora
podem conceder o controle do computador a outro usuario.
Unix: É um sistema operacional de propriedade de The Open Group.
Vim: Comando do sistema operacional Linux para editar textos.
Vírus: é um software malicioso desenvolvido por programadores que
infecta o
sistema, tenta se replicar, e infectar outros arquivos para se disseminar pela rede.
VPN – Virtual Private Network: Rede privada virtual é uma conexão estabelecida
entre um colaborador e sua empresa em cima de uma outra rede como a Internet. É
uma ligação segura entre uma rede ou computador até a empresa.
Vulnerabilidades: É uma brexa aberta em um sistema operacional.
Windows: Sistema Operacional de propriedade da Microsoft.
Wordlist: É um arquivo com muitas palavras salvas, usada para ataques do tipo
brute-force onde o software tenta palavra por palavra.
Worms: É um programa semelhante a um virús que se replica automaticamente
dentro do computador.