Análise das principais ameaças e vulnerabilidades Cerutti -IES ABNT NBR ISO/IEC 27000:2013 Ativos de Informação • • • • • • • • Ativos de Informação: Pessoas Aplicações Dados Documentos Equipamentos Instalações Sistemas Operacionais Logs e arquivos de configuração Normas ISO ISO Marco de Internet Brasil – 2013/14 PILARES DA SEGURANÇA DA INFORMAÇÃO 1. Confidencialidade: oferecer suporte a prevenção de revelação não autorizada da informação. 2. Integridade: prevenir a modificação não autorizada da informação. 3. Disponibilidade: prover acesso confiável a qualquer momento à informação. 4. Não repúdio: assegura que nem o emissor nem o receptor de uma informação possam negar o fato 5. Autenticidade: assegurar a integridade de origem da informação compreendendo o que denominamos de responsabilidade final. 6. Privacidade: Assegurar que dados pessoais disponíveis estejam disponíveis só para autorizados Riscos – Capítulo separado • Humanos • Lógicos • Físicos Tarefas • Identificar as necessidades de segurança de rede. • Identificar algumas das causas dos problemas de segurança de rede. • Identificar características e fatores motivadores de invasão de rede. • Identificar as ameaças mais significativas na segurança de rede. • Conceituar vulnerabilidade, ameaça, risco e gerenciamento de risco. Ameaças Acidentais • • • • Falhas de equipamento Erros humanos Falhas do Software Falhas de alimentação • Problemas causados pelas forças da natureza Ameaças Causadas por Pessoas • • • • • • • • Espionagem Crimes Empregados insatisfeitos Empregados “doentes” Empregados desonestos Vandalismo Terrorismo Erros dos usuários Ameaças • Analisando ameaças • Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários, etc...), ou deliberada (roubo, espionagem, sabotagem, invasão, etc...). • Pode ser uma pessoa, uma coisa, um evento, uma idéia capaz de causar dano. • Ameaças deliberadas: •Passivas – envolvem invasão e/ou monitoramento, sem alteração de informações. •Ativas – Envolvem alteração nos dados. •A magnitude de uma ameaça deliberada está relacionada com a oportunidade, motivação e forma de detecção e punição de quebras de segurança. Vulnerabilidades dos Computadores • Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis • Os suportes podem falhar • Copiar não anula a informação • Dados podem ficar inadvertidamente retidos • Avanços Tecnológicos • Sistemas Distribuídos • Normas de Segurança Tecnologias e Ferramentas para Garantir a Segurança Um Firewall Corporativo O firewall é colocado entre a Internet pública ou outra rede pouco confiável e a rede privada da empresa, com a intenção de proteger esta contra tráfego não autorizado. Dados do PNUD (2004), retrabalhados para esta apresentação Perdas médias anuais em milhões de dólares Importância os desastres Gastos com desastres naturais sendo a maioria nos países desenvolvidos 2.500 0,0641x 2.000 1.500 y = 2E-53e 2 R = 0,969 esponencial ajustada pelo método dos mínimos quadrados Atente-se para o grau de aderência 1.000 500 0 1940 1960 1980 Década 2000 2020 Conceitos • Sinistro – Evento externo ao indivíduo ou grupo de indivíduos que altera as condições que estavam causando perturbações, danos, prejuízos sempre gerando vítmas podendo até ser fatal. • Desastre – É o sinistro que ultrapassa a capacidade de resposta da comunidade afetada • Emergência – Sinistro que pode ser absorvido (tratado e superado) pela comunidade afetada sem necessidade de auxílio externo Porque os sistemas são frágeis? Conceitos (2) • Ameaças – Fenômenos naturais ou de origem tecnológica ou social que possam causar sinistros • Vulnerabilidade – Situação em que se encontram pessoas ou bens que permitam com maior ou menor facilidade a ocorrência de sinistros. – A vulnerabilidade varia de acordo com cada ameaça. Ameaça 1- Phishing • Problema: Grande número de usuários de serviços financeiros on-line vulneráveis, facilidade de criar sites falsos • Soluções: Implantar software antiphishing e serviços e sistema de autenticação multinível para identificar ameaças e reduzir tentativas de phishing • Implantar novas ferramentas, tecnologias e procedimentos de segurança, além de educar os consumidores, aumenta a confiabilidade e a confiança dos clientes. 2-Vírus programa desenvolvido para alterar a forma como um computador opera, sem a permissão ou o conhecimento do seu usuário. Um vírus precisa atender a dois critérios: 1)deverá executar a si próprio, freqüentemente inserindo alguma versão do seu próprio código no caminho de execução de outro programa. 2)ele deve se disseminar. • pode se copiar em outros arquivos executáveis ou em discos que o usuário acessa. • podem invadir tanto computadores desktop como servidores de rede. Tipos de vírus • Vírus de programa: têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade. • Vírus de setor de boot: infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. • Vírus de macro: infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. • Variações mais recentes também estão aparecendo em outros programas. Usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados. Ameaças • Bugs de Software • Bug - erro num programa de computador que o faz executar incorretamente. • Bugs trazem aborrecimentos e muitas vezes prejuízo. • Back doors – Bugs propositalmente inseridos nos programas para permitir acesso não autorizado (brechas de segurança). • Hackers estão sempre em busca de back doors para invadir sistemas. • Ameaças programadas • Programas podem passar a ter comportamentos estranho, pela execução de códigos gerados para danificar ou adulterar o comportamento normal dos softwares. • Podem ser confundidos ou identificados como vírus. • Mais freqüentes em microcomputadores. PILARES DA SEGURANÇA DA INFORMAÇÃO Os pilares refletem na organização e envolvem 3 aspectos principais: • Pessoas – Usuários bem orientados, treinados e conscientizados. • Processos – Regras claras para utilização dos recursos tecnológicos fornecidos pela empresa e leis que em caso de desvio de informações punam severamente o infrator. • Tecnologia – Sistemas bem implementados para assegurar e proteger as informações da empresa Discussão: Phishing • O que torna determinado e-mail suspeito? • Você costuma abrir e-mails suspeitos? Quais são as conseqüências dessa ação? • Você costuma reportar e-mails suspeitos a alguém? • Que medidas você tem adotado para proteger-se do phishing? • Sua instituição possui política clara sobre as ameaças e riscos do phising? Como seria um rascunho dessa política (inclua punições cabíveis) 2 - Malwares Software Mal-intencionado: Vírus, Worms, Cavalos de Tróia e Spyware • Malware • Vírus • Worms • Cavalos de Tróia • Spyware • Key loggers (registradores de teclas) "malware”=malicious software” é um software destinado a infiltrar-se em um sistema de computador de forma ilícita, com o intuito de causar: 1. danos, 2. alterações 3. ou roubo de informações (confidenciais ou não). como os códigos maliciosos podem infectar ou comprometer um computador (EXEMPLOS) • pela exploração de vulnerabilidades existentes nos programas instalados; • pela auto-execução de mídias removíveis infectadas, como pen-drives; • pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis; • pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos; • pela execução de arquivos previamente infectados, Os programas antivírus e firewalls são algumas das ferramentas mais comuns para prevenir que estes tipos de programas entrem no computador e o danifiquem. Os antivírus modernos também protegem contra spywares e adwares. Antivírus têm proteção em tempo real para verificar os processos em execução no sistema. Os antivírus devem ser constantemente atualizados para que possam oferecer proteção contra os mais novos tipos de malware. A melhor forma de evitar um malware é o bom senso. • Computadores com windows são mais propensos à infecção mas computadores da Apple também estão sujeitos aos malwares. • Não baixar nenhum programa ou arquivo executável de origem desconhecida. • Não entrar em sites suspeitos. • O simples ato de entrar em um site pode infectar o seu computador com o uso de exploits. • uso de um produto antivírus é indispensável, porém não deve ser a única medida de segurança em um computador. • Firewalls também são necessários para barrar intrusões na máquina e protegem a rede local. • Em sistemas operacionais Unix, somente o superusuário deve se preocupar com danos, já que cada usuário tem sua própria estrutura. O Comitê Gestor da Internet (CGI) no Brasil tem uma cartilha descrevendo os procedimentos para evitar estes softwares maliciosos. Ataques • Geralmente divididos nos seguintes tipos: – Pelo alvo geral do ataque (aplicações, redes ou misto) – Se o ataque é ativo ou passivo – Pelo mecanismo de ataque (quebra de senha, exploração de código, ...) • Ataques Ativos – DoS, DDoS, buffer overflow, inundação de SYN • Ataques Passívos – Pesquisa de vulnerabilidade, sniffing, ... • Ataques de Senha – Força bruta, Dicionário, “hackish”, Rainbow Tables • Código malicioso (malware) – Vírus, trojans, worms, ... Ataques Ativos • DoS/DDoS – Reduzir a qualidade de serviço a níveis intoleráveis – Tanto mais difícil quanto maior for a infraestrutura do alvo – Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado – “Zombies” e Mestres (Masters), ataque smurf – BOTs e BOTNets, ataques “massificados” por banda larga – Tipos • Consumo de Recursos (largura de banda, cpu, RAM, ...) • Pacotes malformados (todas as flags ligadas) Ataques Ativos (cont.) • Buffer Overflow – Sobrescrever o próprio código em execução – “Shell code”, escrito em assembler – Tem como objetivo executar algum código, ou conseguir acesso privilegiado • Ataques SYN – Fragilidade nativa do TCP/IP – Conexão de 3-vias (Syn, Syn-Ack, Ack) • Spoofing – Se fazer passar por outro ativo da rede – MITM (Man-In-The-Middle) Dsniff Ataques Ativos (Cont.) • Lixeiros – Documentos sensíveis mal descartados – Informações em hardwares obsoletos – Falta de Política de Classificação da Informação • Engenharia social – Kevin Mitnick – Normalmente relevada nos esquemas de segurança – Utiliza-se do orgulho e necessidade de autoreconhecimento, intrínseco do ser humano “Um computador não estará seguro nem quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído a ligá-lo.” [ Kevin Mitnick – A arte de enganar/The Art of Deception ] Ataques ativos por código malicioso • Malware – MALicious softWARE – Não apenas Spyware ou Adware – “Payload” Vs Vetor • Vírus – Auto replicante – Interfere com hardware, sistemas operacionais e aplicações – Desenvolvidos para se replicar e iludir detecção – Precisa ser executado para ser ativado Ataques ativos por código malicioso (cont) • Cavalos de Tróia (Trojans) – Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo) – Fica dormente até ser ativado – Muito comum em programas de gerência remota (BO e NetBus) – Não se auto replica e precisa ser executado • Bombas Lógicas – Caindo em desuso pela utilização de segurança no desenvolvimento – Aguarda uma condição ser atingída – Chernobyl, como exemplo famoso (26, Abril) Ataques ativos por código malicioso (cont) • Worms – Auto replicante, mas sem alteração de arquivos – Praticamente imperceptíveis até que todo o recurso disponível seja consumido – Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede – Não necessita de ponto de execução – Se multiplica em proporção geométrica – Exemplos famosos: • LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ... Ataques ativos por código malicioso (cont) • Back Door – Trojan, root kits e programas legítmos • VNC, PCAnyware, DameWare • SubSeven, Th0rnkit – Provê acesso não autenticado a um sistema • Rootkit – Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors – Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção – Iniciam no boot junto com os processos do sistema Ataques Passívos • Normalmente utilizado antes de um ataque ativo • Pesquisa de Vulnerabilidades – Pesquisa por Portas/Serviços • http://www.insecure.org – Nmap • Escuta (sniffing) – – – – Extremamente difícil detecção Não provoca ruído sensível Senhas em texto claro, comunicações não encriptadas Redes compartilhadas Vs comutadas • Switch Vs Hub – WireShark (Lin/Win), TCPDump (Lin) • http://www.wireshark.org • http://www.tcpdump.org Ataques Passívos (cont) • Ataques de Senha – Muito comuns pela facilidade de execução e taxa de sucesso • Cain&Abel, LC5, John The Ripper, ... – Compara Hash’s, não texto • Força Bruta – Teste de todos os caracteres possíveis – Taxa de 5 a 6 Milhões de testes/seg, em um P4 • Ataques de Dicionário – Reduz sensivelmente o tempo de quebra – Já testa modificado para estilo “hackish” • B4n4n4, C@73dr@l, P1p0c@, R007, ... • Rainbow Tables – Princípio Time Memory Trade-off (TMTO) Vulnerabilidade dos Sistemas e Uso Indevido • Um computador desprotegido conectado à Internet pode ser danificado em poucos segundos • Segurança: políticas, procedimentos e medidas técnicas usados para impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação • Controles: métodos, políticas e procedimentos organizacionais que garantem • a segurança dos ativos da organização, • a precisão • a confiabilidade de seus registros • a adesão operacional aos padrões administrativos Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? • Problemas de hardware (quebras, erros de configuração, danos por uso impróprio ou crime) • Problemas de software (erros de programação, erros de instalação, mudanças não autorizadas) • Desastres (quedas de energia, enchentes, incêndios etc.) • Vulnerabilidades da Internet • Desafios da segurança sem fio Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Desafios de Segurança Contemporâneos Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? • Visite o site http://securelist.com/ • Quais são os principais vírus em termos de taxa de infecção? • Quais são as ameaças de vírus mais recentes? • Leia descrições dos principais vírus e das ameaças mais recentes • O que os downloads do securelist oferecem para ajudar os usuários a proteger e a reparar seus computadores? • Compare e contraste o conteúdo disponível no security com as ofertas do site da Symantec em www.symantec.com Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Hackers e Cibervandalismo • Hackers versus crackers • Cibervandalismo • Spoofing • Sniffing • Ataque de recusa de serviço (DoS) • Ataque Distribuído de Recusa de Serviço (DDoS) • Botnets (‘redes de robôs’) Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Chantagem Cibernética e Redes de Zumbis: Novas Ameaças dos Ataques DoS • Encontre as definições e formas de proteçao para essas ameaças. Responda: • Qual problema as empresas enfrentam com essas ameaças? Como são detectados? Como afetam os negócios? • Quais eram as soluções disponíveis para resolver o problema? • Que outras soluções poderiam ter sido consideradas? • Como as questões humanas, organizacionais e tecnológicas contribuíram para o problema? Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Crimes de Informática e Ciberterrorismo • Crime de informática: ‘Quaisquer violações da legislação criminal que envolvam um conhecimento de tecnologia da informática em sua perpetração, investigação ou instauração de processo’ – Departamento de Justiça dos Estados Unidos • As empresas norte-americanas perdem 14 bilhões de dólares por ano para o cibercrime • Roubo de identidade (phishing, evil twins, pharming, uso indevido do computador [spamming]) • Ciberterrorismo e guerra cibernética Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Ameaças Internas: Funcionários • Ameaças à segurança freqüentemente se originam dentro da empresa • Engenharia social Vulnerabilidades do Software • Softwares comerciais contêm falhas que criam vulnerabilidades de segurança • Patches (remendos) Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Valor Empresarial da Segurança e do Controle • O não funcionamento dos sistemas de computador pode levar a perdas significativas ou totais das funções empresariais • As empresas estão agora mais vulneráveis do que nunca • Uma brecha de segurança pode reduzir o valor de mercado de uma empresa quase imediatamente • Segurança e controles inadequados também produzem problemas de confiabilidade Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Valor Empresarial da Segurança e do Controle Prova Eletrônica e Perícia Forense Computacional • Grande parte das provas para ações legais são encontradas hoje em formato digital • O controle adequado de dados pode economizar dinheiro quando for necessário apresentar informações • Perícia forense computacional: procedimento científico de coleta, exame, autenticação, preservação e análise de dados mantidos em — ou recuperados por — meios de armazenamento digital, de tal maneira que as informações possam ser usadas como prova em juízo • Dados ambientes Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Como Estabelecer uma Estrutura para Segurança e Controle • ISO 27000:2013 • Avaliação de risco • Política de segurança • Chief security officer (CSO) • Política de uso aceitável (AUP) • Políticas de autorização • Sistemas de gerenciamento de autorização Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Como Assegurar a Continuidade dos Negócios-Capítulo Específico • Downtime • Sistemas de computação tolerantes a falhas • Computação de alta disponibilidade • Computação orientada a recuperação • Plano da recuperação de desastres • Plano de continuidade dos negócios • Outsourcing da segurança (provedores de serviços de segurança gerenciada) Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? O Papel da Auditoria no Processo de Controle • Auditoria de sistemas • Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade. • O auditor entrevista indivíduos-chave e examina os controles de aplicação, os controles gerais de integridade e as disciplinas de controle. Vulnerabilidade dos Sistemas e Uso Indevido Por que os Sistemas São Vulneráveis? Tecnologias e Ferramentas para Garantir a Segurança Controle de Acesso • Autenticação • Tokens • Smart cards • Autenticação biométrica Ataques Ameaças Digitais Mais "Focadas” Tecnologias e Ferramentas para Garantir a Segurança Novas Soluções para o Gerenciamento de Identidade • Quais os problemas que grandes empresa podem enfrentarn com o Authentication, authorization,& accounting (AAA)? • Qual pode ser impacto desses problemas? Como eles poderiam ser resolvidos? • Quais são as soluções disponíveis para as empresas? • Quais questões humanas, organizacionais e tecnológicas precisam ser abordadas no desenvolvimento das soluções? • Você acha que as soluções podem efetivamente resolver o problema da Authentication, authorization, & accounting (AAA) e Por quê? http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html Tecnologias e Ferramentas para Garantir a Segurança Firewalls, Sistemas de Detecção e Prevenção de Invasão e Software Antivírus • Firewall: a combinação de hardware e software que controla o fluxo de tráfego que entra ou sai da rede • Sistemas de detecção (IDS) e prevenção (IPS) de invasão monitoram em redes corporativas para detectar e deter intrusos • Software antivírus e antispyware de gateway (emair router ou SMTP server) verifica a presença de malware em computadores e freqüentemente também é capaz de eliminá-lo Tecnologias e Ferramentas para Garantir a Segurança Segurança em Redes Sem Fio • A segurança WEP pode ser melhorada quando usada com a tecnologia VPN • Especificações Wi-Fi Alliance/Acesso Protegido (WPA/WPA2) • Protocolo de Autenticação Extensível (EAP) • Proteção contra redes falsas • IEEE 802.1x Criptografia – Capítulo específico Tecnologias e Ferramentas para Garantir a Segurança Criptografia e Infra-Estrutura de Chave Pública • Criptografia: transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado • • • • • • • Secure Sockets Layer (SSL) Transport Layer Security (TLS) Secure Hypertext Transfer Protocol (S-HTTP) Criptografia de chave pública Assinatura digital Certificado digital Intra-estrutura de chave pública (PKI) Analise o Documento Symantec Threats to virtual environments no site da disciplina E responda: 1. Máquinas virtuais são mais seguras que as físicas? Explique. 2. Quais os principais problemas que podem afetar os ambientes virtualizados? 3. Quais as melhores práticas para se evitarem problemas nesses ambientes? Capítulo específico Dentre os diversos assuntos tratados pela gestão de segurança da informação, um dos principais elementos que direcionam as ações é o gerenciamento de risco, iniciado com a implementação de um processo de análise de risco. Avaliação dos Riscos • O que é um risco? – É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger • O que é a análise de risco? – É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização Técnicas de Análise de Risco • Prever cenários de: – Ameaças – Vulnerabilidades • Para cada cenário: – Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários – Fazer uma análise de custo/benefício Técnicas de Análise de Risco • Análise subjectiva – Documentos escritos com vários cenários como base para sessão de “brainstorming” • Análise Quantitativa – Para cada ameaça quantificar a sua incidência – Estimar o valor dos prejuízos que pode causar – Estimar o custo de combater a ameaça – Pesar as várias ameaças para obter um valor final (que algoritmo?) Técnicas de Análise de Risco • Técnicas Automatizadas – Uso de ferramentas informáticas que implementam UM algoritmo específico – CRAMM no Reino Unido • CCTA Risk Analysis and Management Method – CCTA - Central Computer Telecommunications Agency CRAMM • 3 Etapas – Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ... – Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) • São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas CRAMM – Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar. Vulnerabilidades do Software • Bugs do sistema operativo – Especificações com erros – Implementação com erros • Bugs das aplicações – Especificações com erros – Implementação com erros CERT • CERT - Computer Emergency Response Team • Estrutura organizativa que recolhe e divulga debilidades de segurança • Cadeia segura de troca de informação – Bugs de sistema operativo – Bugs de aplicativos comuns – Vírus