Prof. Msc. Vitor Mesaque Alves de Lima [email protected] | [email protected]

Segurança e Auditoria de SistemasSegurança da Informação

Prof. Msc. Vitor Mesaque Alves de Lima

Universidade Federal de Mato Grosso do SulCampus Três Lagoas

Curso de Sistemas de Informação

[email protected] | [email protected]

Segurança da Informação

Princípios da Segurança da Informação

Conceitos de Segurança da Informação

Ataques

Roteiro

IndroduçãoSegurança da Informação

Visão Geral


Princípios

Confidencialidade: Apenas pessoas explicitamente autorizadas tem acesso a informação.

Integridade: A informação acessada está completa, sem alterações e, portanto, confiável.

Disponibilidade: Está accessível, para pessoas autorizadas, sempre que necessário.


3 Princípios Principais

Autenticidade: É preciso possuir mecanismos para verificar a identidade reclamada por uma entidade do sistema;

Não-repúdio: Mecanismo que deve garantir que uma entidade não pode negar o envolvimento numa transação.

Legalidade: Garantir que um sistema esteja aderente à legislação pertinente;

Privacidade: capacidade de um sistema manter anônimo um usuário(ex: voto eletrônico);

Auditoria: Capacidade de um sistema auditar tudo o que foi realizado pelos usuários


Princípios Complementares

ESTRATÉGICO: GOVERNANÇA, NORMAS, (COBIT, ITIL, GRC)

TÁTICO: POLÍTICAS DE SEGURANÇA, MAPEAMENTO DE RISCOS, PLANOS

DE CONTINGÊNCIAS

OPERACIONAL: FERRAMENTAS, CERTIFICADOS, CRIPTOGRAFIA


Aplicação da Segurança da Informação em Níveis

Definições

Ações

Ativo Incidente Ameaça Vulnerabilidade Probabilidade Impacto Risco



É qualquer elemento que possui valor para a organização e consequentemente necessita ser adequadamente protegido.

Na sociedade atual, a informação é o principal ativo de uma organização e está sob constante risco.

◦ A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da organização.

Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente.

Ativo



Em segurança da informação, um incidente é qualquer acontecimento que prejudique o andamento normal dos sistemas e/ou do negócio.

Ex.: Uma falha de segurança no Yahoo! causou o vazamento de mais de 453 mil dados de usuários de diversos serviços oferecidos pelo portal.

Incidente



SQL Injection

Em inglês, utiliza-se termo “threat” para definir ameaça.

É qualquer ação, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, através de uma vulnerabilidade e consequentemente gerando um determinado impacto.

◦ Ameaças apenas existem se houverem vulnerabilidades.

Ex.: A companhia de segurança Trusteer está alertando sobre um vírus para Android que está sendo distribuído por criminosos e tem como alvo sistemas de autenticação por SMS empregados por bancos europeus para verificar transferências online. Fonte: IDG Now!

Ameaça



Tipos de ameaças:

◦ Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.

◦ Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc.

◦ Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, Espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.

Ameaça



A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque ou falha, ou seja, é uma condição de risco encontrada em determinados recursos, processos, configurações, etc.

Cada vez mais crackers buscam vulnerabilidades multiplataforma. Utilizando falhas já corrigidas por fornecedores, criminosos se aproveitam da negligência de usuários, que não atualizam seus softwares quando necessário. Cada vez mais crackers estão escolhendo como alvo as mesmas vulnerabilidades de aplicativos em Macs e Pcs com Windows, visando benefícios financeiros e para desenvolver malwares multiplataforma. Fonte: IDG Now! Agosto/2012.

Vulnerabilidade



Origem

◦ Deficiência de projeto: brechas no hardware/software

◦ Deficiência de implementação: instalação/configuração incorreta, por inexperiência, falta de treinamento ou desleixo

◦ Deficiência de gerenciamento: procedimentos inadequados, verificações e monitoramento insuficientes

Vulnerabilidade



Vulnerabilidade



A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades.

Probabilidade



São as potenciais consequências que este incidente possa causar ao negócio da organização.

Ex.: Alguns impactos resultantes da invasão da rede Playstation Network da Sony:

◦ Exposição de dados sigilosos de 77 milhões de usuários;

◦ Serviço indisponível por três semanas;

◦ Segundo a Forbes (Information for the World's Business Leaders), o prejuízo financeiro pode alcançar, no pior cenário, 24 bilhões de dólares.

Impacto



Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo;

Risco pode se definido como uma medida da incerteza associada aos retornos esperados de investimentos (Duarte Júnior, 2004);

Subentende-se por risco, o nível do perigo combinado com: (1) a probabilidade de o perigo levar a um acidente e, (2) a exposição ou duração ao perigo (algumas vezes denominado de latente); algumas vezes, o risco é limitado ao relacionamento entre o perigo e o acidente, ou seja, a probabilidade do perigo conduzir a um acidente, mas não da probabilidade do perigo ocorrer (Leveson et al, 1997);

Conforme (Scoy, 1992), risco não é ruim por definição, o risco é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado.

Risco



Tipos de ataques◦ Passivo

Interceptação, monitoramento, análise de tráfego (origem, destino, tamanho, frequência)

◦ Ativo Adulteração, fraude, reprodução (imitação), bloqueio


Ataques

Ataques sobre o fluxo de informação

◦ Interrupção: ataca a disponibilidade◦ Interceptação: ataca a confidencialidade◦ Modificação: ataca a integridade◦ Fabricação: ataca a autenticidade


Ataques

Malware◦ é um software destinado a se infiltrar em um sistema de computador alheio de forma

ilícita, com o intuito de causar algum dano ou roubo de informações Vírus

◦ infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores Verme (Worm)

◦ é um programa auto replicante, semelhante a um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar.

Cavalo de Tróia (Trojan Horse)◦ programa malicioso que age como a lenda do cavalo de Troia, entrando no computador e

liberando uma porta para uma possível invasão e é fácil de ser enviado Spyware

◦ programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker.

Exemplos de Ataques / Ameaças


Ataques

Back Door (Porta dos Fundos) ou Trap Door (Armadilha, Alçapão)◦ permitir a invasão do sistema por um cracker para que ele possa obter um total

controle da máquina Bomba Lógica

◦ vírus é capaz de se ativar em um momento preciso e num grande número de máquinas

Port Scanning ◦ Varredura de Portas

Spoofs ◦ Falsificação ou Disfarce de identidade

DNS Spoof◦ Fazem o servidor de DNS retornar um IP incorreto

Quebra de Senha (Password Cracking)◦ Recuperação de senha a partir de dados roubados



Ataques

Engenharia Social Sniffing (Monitoramento, “Grampo”) Web Site Defacement DoS - Denial of Service (Interrupção de Serviço) SPAM / Junk Mail Mensagem-Bomba (Mail Bomb) War Dialing

◦ criação de um banco de dados de informações a respeito de todos os números de telefone de determinado prefixo e região, através de um computador configurado para realizar chamadas automaticamente.

Injeção de SQL (SQL Injection)



Ataques



Ataques

12,7 mil contas de cartão de crédito podem ter sido roubadas

Fonte: Computer Crime and Security Survey, 2010

Fonte: Módulo – 10ª Pesquisa Anual de Segurança da Informação, Dezembro de 2007

Data: 25/04/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes

dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação)

Equipe 1 – Vírus, Vermes, Adwares, Spywares e Trojans



Equipe 2 - DNS Cache Poisoning e DNS Spoofing



Equipe 3 - SQL Injection



Equipe 4 - Negação de Serviço (DoS - Denial of Service



Equipe 5 – Engenharia Social

Documents

Prof. Msc. Vitor Mesaque Alves de Lima [email protected] | [email protected]