Page 1

SEGURANÇA DE INFORMAÇÃO

18/01/2011 Eudes Danilo Mendonça

eudesdanilo@gmail.com

http://www.4shared.com/file/39802306/e79291cf/Segurana_de_sistema.html 1


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques 6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas 2


1. Introdução

3


O sistema informático mais seguro não é utilizável O sistema informático mais utilizável é inseguro Só existe um computador 100% seguro, o desligado. 4


Introdução  A Segurança da Informação pode ser

definida como a proteção de dados contra a revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.  A segurança no universo computacional

divide-se em: – Segurança Física – Segurança Lógica

5


Introdução (cont.)  Objetivo da Segurança Informática – Seja qual for a dimensão de um sistema informático, deve procurar-se atingir, na sua exploração, os seguintes objetivos: • Integridade do equipamento • Confidencialidade e a qualidade da informação • Prontidão do sistema (eficiência x eficácia)

6


O que você está tentando proteger?  Seus dados

Integridade Privacidade Disponibilidade  Seus recursos  Sua reputação

7


Contra o que você está tentando se proteger?  Roubo de senhas  Engenharia Social  BUG & Backdoors  Falha de autenticação  Falha de protocolo  Obtendo Informações

 Negando serviços (DoS) 8


Devemos cuidar de nossa identidade digital!

Identificação no Mundo Real

Identificação Virtual

Certidão de Nascimento Carteira de Identidade Carteira Profissional Título de Eleitor CPF Certificado de Reservista Carta de Motorista Passaporte Cartão de Crédito

Criptografia Crachá Email Senha Assinatura Digital Log Acesso

45c


Um pequeno investimento causa um grande prejuizo

Deixa pouco ou nenhum rastro

É Facil de aprender a fazer e adquirir ferramentas Muitas redes podem Ser comprometidas E muitos paises envolvidos Não é preciso contato Com as vitimas É facil se esconder

Não existe legislação adequada em todos os lugares


Principios da Segurança da Informação  100% de segurança é um valor que não

pode ser atingido  Riscos devem ser calculados e balanceados  Segurança tem quer ser calculada em relação a disponibilidade


“Não publico serviços...”


“Não publico serviços...”


“As vulnerabilidades das redes representam as vulnerabilidades dos negócios...”


“As vulnerabilidades das redes representam as vulnerabilidades dos negócios...”


“O importante apenas ter um firewall e um antivĂ­rus sempre atualizado...â€?


“O importante é ter um firewall e um antivírus sempre atualizado...”


“Segurança não tem retorno do investimento...”


“Segurança não tem retorno do investimento...”


“Quanto mais restrito mais seguro“


“Quanto mais restrito mais seguro“


Em que abordagem você confia ?

Segurança como uma opção

Segurança como parte do sistema

Segurança como um aditivo

Segurança Embutida na Rede

Integração extremamente complicada

Colaboração inteligente entre os elementos

Não é economicamente viável

Não pode focar na principal prioridade

Visão de sistemas Foco direto na principal prioridade


Normativos de Segurança ABNT NBR ISO/IEC 17799: 2005 – Tecnologia da informação – Técnicas de segurança – Código de práticas para gestão da segurança da informação.  ABNT NBR ISO/IEC 27001: 2006 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos.  ABNT NBR 11515 – Guia de práticas para segurança física relativas ao armazenamento de dados. 


Indice 1. Introdução

2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques 6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

24


2. Hist贸rico

25


Breve História da Segurança  Em 1845, um ano depois da invenção do

telégrafo, foi desenvolvido um código de encriptação para manter secretas as mensagens transmitidas.  Durante os anos 70, equipas formadas por elementos do governo e da indústria – crackers – tentavam ultrapassar as defesas de sistemas de computadores num esforço de descobrir e corrigir as falhas de segurança.  O nascimento do “Orange Book”. 26


Breve História da Segurança  O “Orange Book” passou a ser a bíblia do

desenvolvimento de sistemas seguros. Descrevia os critérios de avaliação utilizados para determinar o nível de confiança que poderíamos depositar num determinado sistema. Tornava a segurança numa medida cômoda para que um cliente pudesse identificar o nível de segurança exigido por um determinado sistema.  Criou as categorias D, C, B, e A, sendo D o menos seguro e A o mais seguro. 27


Indice 1. Introdução 2. Histórico

3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques 6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

28


3. Tipos de Seguranรงa

29


3.1 - Segurança Física  Deve-se ter em atenção que as ameaças

estão sempre presentes, mas nem sempre lembradas, como por exemplo: – – – – – –

Incêndios Desabamentos Alagamentos Relâmpagos Problemas na rede elétrica, Acesso indevido de pessoas ao Centro de Informática – Formação inadequado de funcionários – etc. 30


3.1 - Segurança Física (cont)  O ponto-chave é que as técnicas de

proteção de dados por mais sofisticadas que sejam, não servem se a segurança física não for garantida.  Consiste então no desenvolvimento de medidas de segurança dos equipamentos, visando garantir a integridade física e a prontidão dos mesmos.

31


Medidas de Proteção Física  serviços de guarda, alarmes,

fechaduras, circuito interno de televisão e sistemas de escuta são realmente uma parte da segurança de dados. •Salas-cofre •No-breaks •Reservas (“Backups”) •CPD/Data center reserva •Cópias em fita, etc •Sistemas redundantes

32


Identificação dos riscos

Perímetro de segurança Inadequados:


Identificação dos riscos

Presença de materiais de alto poder de combustão:


Identificação dos riscos

Infra-Estrutura Elétrica:


Identificação dos riscos

Combate a incêndio e outros sinistros:


Equipamento para falta de energia elĂŠtrica:


Alimentação dentro das salas

Poeiras e Fumo:


Backup´s:


Cofre Digital

Investimento Médio: R$ 799,90. Quantidade: 1

Detector de Presença

Investimento Médio: R$ 36,50. Quantidade: 5


Controle de Acesso com Leitor Biométrico

Detector de Fumaça com Alarme

Investimento Médio: R$ 695,00. Quantidade: 5

Investimento Médio: R$ 141,99. Quantidade: 6


Controle de Acesso com Leitor Biométrico

CFTV

Investimento Médio: R$ 695,00. Quantidade: 2

Investimento Médio: R$ 141,99. Quantidade: 2


3.2 - Segurança Lógica  Esta requer um estudo maior, pois envolve

investimento em softwares de segurança ou elaboração dos mesmos.  Deve-se estar atento aos problemas causados por vírus, acesso de bisbilhoteiros (invasores de rede), programas de backup desatualizados ou feito de maneira inadequada, distribuição de senhas de acesso, etc..

43


Objetivos da Segurança  O objetivo da segurança da informação

abrange desde uma fechadura na porta da sala de computadores até o uso de técnicas criptográficas sofisticadas e códigos de autorização.  O estudo não abrange somente o crime computacional (hackers), envolve qualquer tipo de violação da segurança, como erros em processamento ou códigos de programação. 44


Segurança Lógica  Um recurso muito utilizado para se proteger

dos bisbilhoteiros da Internet, é a utilização de um programa de criptografia que embaralha o conteúdo da mensagem, de modo que ela se torna incompreensível para aqueles que não sejam nem o receptor ou dono da mesma.  Então esta consiste no desenvolvimento de medidas de segurança que permitam garantir a confidencialidade e a integridade da informação (dados). 45


Resumo da Origem dos Riscos  Pessoas

- Displicência/negligência na execução de atividades; - Desconhecimento/falta de treinamento para a execução de atividades; - Manipulação para cometer fraudes;  Processos

- Processo mal definido; - Falta de controles; - Falta de segregação de funções;  Infra-Estrutura

- Falha em sistema (hardware ou software); - Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.); 46


Árvore de ameaças: => Desastres ou perigos: 

   

de causa natural - provocados por água - cheias - inundações - … provocados por fogo - incêndios florestais - ... provocados por fenômenos sísmicos provocados por vento provocados por agentes biológicos ou virais - epidemias provocados por eletricidades - tempestades - relâmpagos - descargas de energia

 desabamentos

47


Árvore de ameaças (cont):  com origem humana

- acidental fogo inundações derrames de substâncias químicas ou biológicas explosões queda/despiste de veículos (carros, comboios, aviões, barcos, etc.) introdução incorrecta de dados nos sistemas configuração incorrecta dos sistemas - intencional quebras contratuais terrorismo tumultos greves furto fraude sabotagem

 desabamentos 48


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças

4. Objetivos da Segurança 5. Introdução a Ataques 6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

49


4 - Objetivos da Segurança “Segurança não é uma tecnologia”

50


Objetivos da Seguranรงa

Quem? O que? Quando? Como? Onde? Porque?


Objetivos da Segurança  A segurança de dados tem por objetivo

restringir o uso de informações (softwares e dados armazenados) no computador e dispositivos de armazenamento associados a indivíduos selecionados.

52


Os objetivos da Segurança da Informação são:  Preservação do patrimônio da empresa

(os dados e as informações fazem parte do patrimônio). – Deve-se preservá-lo protegendo-o contra revelações acidentais, erros operacionais e contra as infiltrações que podem ser de dois tipos: • Ataques passivos (interceptação) • Ataques ativos (interrupção, modificação e Fabricação) 53


Ataques passivos Ataques Passivos Intercepção

Análise do conteúdo das mensagens

Análise do tráfego

O objetivo é obter informação que está a ser transmitida. Este tipo de ataques é muito difícil de detectar. O esforço de protecção deve ser no sentido da prevenção.


Ataques Passivos  Análise do conteúdo das mensagens – Escutar e

entender as informações.  Análise do tráfego – O oponente pode determinar a

origem e identidade das comunicações e pode observar a frequência e comprimento das mesmas. Esta informação pode ser útil para determinar a natureza da comunicação. Os ataques passivos são muito difíceis de detectar porque não envolvem nenhuma alteração de dados. A ênfase ou o esforço deve desenvolvido no sentido da prevenção e não da detecção.


Intercepção

Emissor

Receptor

Intercepção

Intercepção – Quando utilizadores não autorizados conseguem aceder a recursos para os quais não estavam autorizados. É um ataque à confidencialidade. A parte não autorizada pode ser uma pessoa, um programa ou um computador. Exemplos: violação de cabos de comunicação, para capturar dados da rede, cópia ilícita de pastas e programas, etc.


Ataques Ativos Ataques Activos

Interrupção (Disponibilidade)

Modificação (Integridade)

Fabricação (Autenticidade)

 Envolvem alguma modificação de dados.

 Este tipo de ataques é muito difícil de prever, já que, para isso,

seria necessário uma proteção completa de todos os tipos de comunicações e de canais. Por esta razão, o esforço de protecção deve ser no sentido de os detectar e recuperar dos atrasos ou estragos entretanto causados.


Ataques Ativos  Personificação – quando uma entidade simula ser

outra. Normalmente inclui outras formas de ataque ativo. Por exemplo, as sequências de autenticação podem ser capturadas e reenviadas depois de uma autenticação legítima ter acontecido, permitindo que uma entidade com poucos ou nenhuns privilégios passe a ter privilégios acrescidos.  Reprodução – envolve a captura de mensagens e a

sua subsequente retransmissão, para produzir efeitos não autorizados.


Ataques Ativos  Modificação – Significa que uma parte da mensagem

foi alterada, retida ou reordenada, de forma a produzir um efeito não autorizado.  Paragem do serviço – impede a utilização normal de

determinado sistema, inibindo partes do seu funcionamento (Apagando determinadas pastas, relativos a um determinado assunto ou função) ou bloqueando completamente todo o sistema. Pode incluir o bloqueamento de uma rede ou a sua sobrecarga com mensagens que degradam a sua performance.


Interrupção Emissor

Receptor

Interrupção

Interrupção – A informação de um sistema torna-se indisponível ou é destruída. É um ataque à disponibilidade. Exemplos: Destruição de peças de Hardware, o corte de linhas de comunicação, a inoperância do sistema de ficheiros, etc.


Modificação

Emissor

Receptor

Modificação

Modificação – uma parte não autorizada, não só acede à informação, mas também a modifica. É um ataque de integridade. Exemplos: alteração de valores num ficheiro de dados; alteração de um programa para que ele funcione de maneira diferente ou modificação do conteúdo de mensagens transmitidas pela rede.


Fabricação

Emissor

Receptor

Fabricação

Fabricação – uma parte não autorizada insere dados falsos no sistema. É um ataque à autenticidade. Exemplos: inserção de mensagens simuladas na rede ou a adição de registos a um ficheiro.


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança

5. Introdução a Ataques 6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

63


5 – Introdução a Ataque

64


O que é ataque? Ataque é toda ação realizada com intuito ou não de causar danos.

65


Os velhos e os novos meios de cometer crimes!

PRECISAMOS COMBATER A FALTA DE ATENÇÃO E NEGLIGÊNCIA DO USUARIO!


Vulnerabilidades  Todo computador é vulnerável a

ataques. (Possui informação) • Tipos de Vulnerabilidades – – – – – – –

Vulnerabilidades Vulnerabilidades Vulnerabilidades Vulnerabilidades Vulnerabilidades Vulnerabilidades Vulnerabilidades

Físicas (Meio, Construção) Naturais (Desastres Naturais) de Hardware e Software(Falhas) de Media (Roubos de Media) de Comunicação (Hacker) de Humanos (Usuários) sobre Exploit (Brechas, Copias)


Ameaças  Uma ameaça é uma potencial violação de segurança  As

ações

que

podem

acarretar

a

violação

são

denominadas de ataques

 Aqueles que executam tais ações são denominados de atacantes  Os

serviços

de

suporte

a

mecanismos

para

confidencialidade, integridade e disponibilidade visam conter as ameaças à segurança de um sistema

68


O que é uma ameaça ?  Uma ameaça é algum fato que pode

ocorrer e acarretar algum perigo a um bem.  Tal fato, se ocorrer, será causador de

perda.  É a tentativa de um ataque.


Como você vai saber que seus dados foram corrompidos? Quer dizer que os “hackers” não deixam pegadas”?


Um ataque tĂ­pico

71


Etapas de um Ataque 1. Footprinting (reconhecimento)

2. Scanning (varredura) 3. Enumeration (enumeração) 4. Ganhando acesso (invasão) 5. Escalada de privilégios

6. Acesso à informação 7. Ocultação de rastros 8. Instalação de Back doors (portas de

entrada) 9. Denial of Service (negação de serviço)


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


1. Footprinting (reconhecimento)  Informações básicas podem indicar a postura e

a política de segurança da empresa  Coleta de informações essenciais para o ataque – Nomes de máquinas, nomes de login, faixas de IP, nomes de domínios, protocolos, sistemas de detecção de intrusão

 São usadas ferramentas comuns da rede  Engenharia Social – Qual o e-mail de fulano? – Aqui é Cicrano. Poderia mudar minha senha? – Qual o número IP do servidor SSH? e o DNS?


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


2. Scanning (varredura ou mapeamento)  De posse das informações coletadas,

determinar

– Quais sistemas estão ativos e alcançáveis – Portas de entrada ativas em cada sistema

 Ferramentas – Nmap, system banners, informações via SNMP  Descoberta da Topologia – Automated discovery tools: cheops, ntop, … – Comandos usuais: ping, traceroute, nslookup  Detecção de Sistema Operacional – Técnicas de fingerprint (nmap)  Busca de senhas contidas em pacotes

(sniffing) – Muitas das ferramentas são as mesmas usadas para gerenciamento e administração da rede


Mapeamento de rede

Tela do Cheops (http://cheops-ng.sourceforge.net)


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


3. Enumeration (enumeração)  Coleta de dados intrusiva – Consultas diretas ao sistema – Está conectado ao sistema e pode ser notado

 Identificação de logins válidos  Banners identificam versões de HTTP, FTP

servers  Identificação de recursos da rede

– Compartilhamentos (windows) - Comandos net view, nbstat – Exported filesystems (unix) - Comando showmount

 Identificação de Vulnerabilidades comuns – Nessus, SAINT, SATAN, SARA, TARA, ...

 Identificação de permissões


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


4. Ganhando acesso (invasão)  Informações coletadas norteiam a estratégia de

ataque  Invasores tem uma “base” de vulnerabilidades – Bugs de cada SO, kernel, serviço, aplicativo – por versão – Tentam encontrar sistemas com falhas conhecidas

 Busca privilégio de usuário comum (pelo

menos)  Técnicas – Password sniffing, password crackers, password guessing – Session hijacking (sequestro de sessão) – Ferramentas para bugs conhecidos (buffer overflow)

 Hackers constróem suas próprias ferramentas


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


5. Escalada de privilégios  Uma vez com acesso comum, busca

acesso completo ao sistema (administrator, root)  Ferramentas específicas para bugs conhecidos – "Exploits"  Técnicas – Password sniffing, password crackers, password guessing – Session hijacking (sequestro de sessão) – Replay attacks – Buffer overflow – Trojans


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


6. Acesso a informação  Alguns conceitos relacionados à “informação”

– Confidencialidade – trata do acesso autorizado – Integridade – trata da alteração autorizada – Autenticidade – trata da garantia da autoria da informação – Disponibilidade – disponível quando desejada, sem demora excessiva (com autorização) – Auditoria – trata do registro do acesso  Invasor pode atuar contra todos os conceitos acima, de acordo com seus interesses


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


7. Ocultação de rastros  Invasor usa tenta evitar detecção da

presença  Usa ferramentas do sistema para desabilitar auditoria  Toma cuidados para não deixar “buracos” nos logs – excessivo tempo de inatividade vai denuciar um ataque  Existem ferramentas para remoção

seletiva do Event Log  Esconde arquivos “plantados” (back doors)


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


8. Instalação de Back doors  Objetivo é a manutenção do acesso – Rootkits – ferramentas ativas, mas escondidas – Trojan horses – programas falsificados – Back doors – acesso/controle remoto sem autenticação  Trojans podem mandar informação para invasor – Captura teclado – Manda um e-mail com a senha  Rootkits se confundem com o sistema – Comandos modificados para não revelar o invasor  Back doors – Sistemas cliente/servidor – Cliente na máquina invasora controlando Servidor na máquina remota – Não aparecem na "Task List" do Windows NT/2k


Anatomia de um ataque Varredura

Reconhecimento

Enumeração

Invasão

Negação de Serviços

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros


9. Denial of Service (negação de serviço)  Ataques com objetivo de bloquear

serviços, através de: – Consumo de banda de rede – Esgotamento de recursos – Exploração de falhas de programação (ex: ping da morte) – Sabotagem de Roteamento – Sabotagem no DNS

 DDoS Distributed Denial of Service – Ataques coordenados de múltiplas fontes


Definição de segurança computacional Atacantes

Meios

Acesso

Hackers

Comandos de usuários

Vulnerabilidade implementação

Acesso não autorizado

Espiões

Programas ou scripts

Vulnerabilidade projeto

Uso não autorizado

Terroristas

Agentes autônomos

Vulnerabilidade configuração

Agressores internos

Toolkits

Criminosos Profissionais

Ferramentas distribuídas

Vândalos

Grampo de Dados

Processos (arquivos ou dados em trânsito) Serviços de segurança

Resultados

Objetivos

Corrupção da informação

Desafio, status

Revelação da informação

Ganho político

Roubo de serviço

Ganho financeiro

Recusa de serviço

Causar perdas

Taxonomia de ataques a redes e computadores 93


O que um hacker ataca ? Aplicações Banco de dados Sistemas operacional Serviços de rede


95


96


Motivação para o Ataque • Por quê existem as invasões aos sistemas? – – – – – – – – – –

Orgulho Exibicionismo/fama Busca de novos desafios Curiosidade Protesto Roubo de informações Dinheiro Uso de recursos adicionais Vantagem competitiva Vingança 97


Exemplo: Oliberal 10/02/08

98


Fonte de Problemas ou Ataques  Estudante – Alterar ou enviar e-mail em nome       

de outros Hacker - Examinar a segurança do Sistema; Roubar informação Empresário - Descobrir o plano de marketing estratégico do competidor Ex-empregado - Vingar-se por ter sido despedido Contador - Desviar dinheiro de uma empresa Corretor - Negar uma solicitação feita a um cliente por e-mail Terrorista - Roubar segredos de guerra Outros 99


Principais Ameaças

9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security


Principais Obstáculos

9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security


Caso Real

Atualmente 85% das quebras de segurança corporativas são geradas internamente.


Caso Real

Perfil do Fraudador*: • 68% estão na Média e Alta Gerências • 80% tem curso superior completo • Predominantemente do Sexo Masculino • Idade média entre 31 e 40 anos *Pesquisa sobre crimes econômicos - PWC 05


Tipos de ataques conhecidos • Negação de serviços – – – – –

• • •

Syn Flood – inundar a fila de SYN para negar novas conexões Buffer overflow – colocar mais informações do que cabe no buffer Distributed DoS (DDoS) – ataque em massa de negação de serviços Ping of Death – envio de pacote com mais de 65507 bytes Smurf – envio de pacote ICMP em broadcast a partir de uma máquina, sendo inundada com as respostas recebidas – CGI exploit – Land, syn flooding, ... Simulação – IP Spoofing – uso do IP de uma máquina para acessar outra – DNS Spoofing – assumir o DNS de outro sistema Investigação – Port scanning – varredura de portas para tentar se conectar e invadir Spam – Acesso a um grande número de pessoas, via email, com link para sites clonados que pedem informações pessoais

104


Tipos de ataques conhecidos • Escutas • •

– Packet Sniffing – escuta e inspeciona cada pacote da rede – IP/Session Hijacking – interceptação da seção pelo invasor Senha – Uso de dicionário de senhas – Força bruta – tentativa e erro Outros ataques – Alteração de site (web defacement) – Engenharia social – Ataque físico às instalações da empresa – Uso de cavalos de tróia e códigos maliciosos – Trashing – revirar lixo em busca de informações – War dialing – liga para vários números de telefone para identificar os que tem modem instalado

105


Tipos de ataques (cont) •Penetração de sistemas •Falsificação de endereço (spoffing) •Ataque dissimulado •Penetração do controle de segurança do sistema Malicious programs

•Escoamento Needs host program

Independent

•Comprometimento de recursos • Uso malicioso

01:35

Trapdoors

Logic bombs

Trojan horses

Viruses

Bacteria

Worms


Como Evitar •Muitos meios e ferramentas •Diminuirmos a vulnerabilidades.

•Firewalls (fornecem limites fisicos) Ferramentas de IDS DMZ


Como Evitar (cont) •Conjuntos, de medidas que envolvem aspectos de negócios, humanos, tecnológicos, processuais e jurídicos. • Políticas de segurança de usuários. • Separação entre rede publica e privada. • Sistemas de detecção de intrusão. • Implementação de Criptografia. • Autenticação.


Como Evitar (cont) •Controles de acesso •Conhecer seus possíveis inimigos •Política de senhas •Política de acesso remoto •Política de segurança (em ambientes cooperativos)

•Treinamento •Conscientização •Sistema de Detecção de intrusão IDS


Como prevenir e evitar Ameaças Internas?  Restringir ao máximo o acesso dos usuários às     

informações vitais da organização; Restringir o acesso físico às áreas críticas; Definir e divulgar normas e políticas de acesso físico e lógico; Implementar soluções de criptografia para informações críticas; Implementar soluções de auditoria para informações críticas; Controlar o acesso de prestadores de serviços as áreas críticas e as informações.

110


Dicas simples de proteção aos usuários: • Nunca dê sua senha ou informações pessoais a estranhos na Internet

• Nunca clique em links desconhecidos • Nunca dê download e execute arquivos desconhecidos • Fique alerta sobre qualquer empresa que não divulgar seu nome, endereço web ou número telefônico de forma clara

Port 80 App.exe

111


Ex: Email para roubo de informações

112


Ex: Email para roubo de informações

113


Ex: Email para roubo de informações

114


Ex: Email para roubo de informações

115


Ex: Email para roubo de informações

116


Ex: Email para roubo de informações

117


Ex: Email para roubo de informações

118


Ex2: Clonagem de cart達o de banco

Bocal preparado

119


Ex2: Clonagem de cartĂŁo de banco

ImperceptĂ­vel para o cliente

120


Ex2: Clonagem de cartão de banco

Micro câmera disfarçada de porta panfleto


Ex2: Clonagem de cart達o de banco

Vis達o completa da tela e teclas digitadas

122


Ex2: Clonagem de cart達o de banco

Vis達o completa da tela e teclas digitadas

123


Ex2: Clonagem de cart찾o de banco

Micro c창mera Bateria Antena transmissora

124


Ex3: Email de promoção (roubo informação)

125


Ex3: Email de promoção (roubo informação)

126


Ex4: Antivirus Gratis

127


Ex5: Engenharia Social  Ao atender um telefonema, o interlocutor se

identifica como vice-diretor da empresa. Você já o viu pelos corredores, mas nunca falou com ele por telefone. Ele informa que se encontra na filial da empresa, em reunião, e está com problemas para acessar o sistema. Assim sendo, solicita a senha para que possa ter acesso. Informa, ainda, que está acompanhado de 10 pessoas que possuem outros compromissos e que não podem esperar por muito tempo. 128


Ex6: Email Receita Federal

129


Cópia de identidade visual de órgãos públicos

Pedido de download de arquivos / erros de português


C贸pia de identidade visual de entidades populares

Hist贸ria estranha e mal contada

Necessidade urgente de download


Serviรงo inexistente

Pedido de download de arquivos

Ameaรงas


Uso de marca popular

Pedido de download de arquivo

Distrbuição muito vantajosa de prêmios


Uso de marca popular

Erro de português

Dívida inexistente

Falta de menção a endereço por extenso


Erro de portuguĂŞs


Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisainst-xss/) Criminosos brasileiros conseguiram descobrir um problema em uma página do Bradesco que permitia que a mesma fosse “alterada” por meio de links, possibilitando o uso do domínio do banco para todo tipo de atividade maliciosa. Para tal, crackers enviaram e-mail em massa contendo um link que explorava uma falha de XSS (Cross Site Scripting) existente em uma página localizada em institucional.bradesco.com.br. Se clicado, o link enviava informações à página que causavam um comportamento indesejável, fazendo com que argumentos da query string — como é chamada a parte do link depois do ponto de interrogação (”asp?…”) — fossem inseridas como código, permitindo o ataque. Dias antes da publicação desta matéria, a Linha Defensiva notificou o Bradesco. O banco removeu a página vulnerável dentro de aproximadamente 48 horas, inutilizando o ataque. A mensagem contendo o link que explorava a brecha solicitava o recadastramento das “chaves de segurança” usadas nas transações através da Internet, convidando o usuário a fazê-lo por meio do link.

136


Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)

Como é demonstrado na imagem, a maioria dos navegadores e os programas de e-mails não exibem o endereço completo de uma URL, se esta for muito extensa, não permitindo que a existência do golpe seja percebida. Embora o e-mail tenha usado uma técnica refinada que facilmente poderia enganar até mesmo usuários com certa experiência, devido ao link camuflado, erros de ortografia característicos de golpes e fraudes se faziam presentes. Aparentemente, o sistema de email em massa usado pelos criminosos não era compatível com caracteres especiais, como acentos.

137


Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisainst-xss/) XSS Cross Site Scripting, ou XSS, é um tipo de vulnerabilidade onde determinada página de internet não filtra suficientemente as informações enviadas pelo navegador web, sendo possível fazê-la exibir conteúdos de outros sites, ou conteúdos especificados no próprio link ou outra informação. Um exemplo clássico é a página de busca. Em geral, páginas de buscas exibem na tela a informação que está sendo procurada (por exemplo, “Você está procurando por: [termo de pesquisa]“). Se a exibição desta informação não for filtrada corretamente, a informação, em vez de exibida, será interpretada como código HTML pelo navegador, possibilitando o ataque. Fóruns, livros de visitas e blogs (este último, devido à função de comentários) podem ser vítimas do XSS permanente, onde um post malicioso, por exemplo, fica permanentemente no ar e afetará qualquer usuário que o ver. Este é o ataque de XSS persistente, ou tipo 2. O Bradesco foi alvo do XSS impermanente ou não-persistente, também chamado de XSS tipo 1. O objetivo de ataques XSS é geralmente roubar informações importantes da vítima, tais como os cookies de autenticação. Porém, XSS também pode ser usado para alterar os sites e usar da confiança depositada pelo internauta na página para persuadi-lo a enviar informações sigilosas, ou para rodar código malicioso nos PCs de visitantes. A Linha Defensiva já noticiou a respeito de brechas semelhantes no YouTube e no Orkut. Para se prevenir de ataques XSS impermanentes, recomenda-se que links recebidos em mensagens de email e similares não sejam clicados, a não ser quando estava-se esperando absolutamente o e-mail em questão (como, por exemplo, depois de registrar-se em um site para validar sua conta). Sempre que possível, deve-se digitar o endereço do site na barra de endereços do navegador e procurar manualmente o que foi indicado no e-mail. Brechas de XSS tipo 2 são difíceis de serem evitadas pelo usuário, sendo a responsabilidade do site nesses casos ainda maior, embora, em última instância, a responsabilidade sempre seja do site. 138


Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)

Ao acessar o link, o internauta era direcionado para uma página do Bradesco (Index_Pesquisa.asp) que, vulnerável a XSS, carregava outra página, hospedada em um domínio brasileiro (cujo nome não foi divulgado por se tratar de um domínio legítimo comprometido). Em ataques XSS, páginas legítimas são usadas de forma maliciosa e um código (no caso acima, um FRAMESET1) é inserido na página legítima. O conteúdo da página será, portanto, diferente do esperado.

139


Novos ataques

140


Lista de Hackers fornecida:      

    

    

Amores On-line - cartão virtual - Equipe Carteiro Romântico - Uma pessoa que lhe admira enviou um cartão As fotos que eu tinha prometido. Álbum pessoal de fotos AVG Antivírus - Detectamos que seu E.Mail está enviando mensagens contaminadas com o vírus w32. bugbear Aviso - você está sendo traído - veja as fotos Aviso - você está sendo traído - veja as imagens do motel Banco do Brasil informa - Sua chave e senha de acesso foram bloqueados Contrato Pendente - Clique para fazer atualização Big Brother Brasil - ao vivo - quer ver tudo ao vivo e ainda concorrer a promoções exclusivas? Clique na fechadura Câmara dos Dirigentes Lojistas - SPC - Serviço de Proteção ao Crédito Notificação - Pendências Financeiras - Baixar o arquivo de relatório de pendências. carnaval 2005 - veja o que rolou nos bastidores do carnaval de São Paulo Cartão Terra - eu te amo - webcard enviado através do site Cartões Terra Cartão UOL - I love you - você recebeu um cartão musical - Para visualizar e ouvir escolha uma das imagens Cartões BOL - Você recebeu um cartão BOL Cartõesnico.com - Seu amor criou um cartão para você Checkline - Consultas de crédito on-line - Consultas no Serasa/SPC Claro Idéias - Grande chance de ganhar meio milhão de reais em ouro e 18 carros Colaneri e Campos Ltda - Ao Gerente de Vendas - orçamento de material e equipamentos em urgência


Lista de Hackers fornecida:      

             

Correio Virtual - hi5 - Seu Amor te enviou este cartão CPF cancelado ou pendente de regularização - verifique; seu CPF está cancelado Declaração de Imposto de Renda de 2005/06 - Ministério da Fazenda - CPF Cancelado ou Pendente de Regularização Ebay - your account could be suspended - Billing Department Embratel - Comunicado de Cobrança - Aviso de Bloqueio Embratel - Notificação Confidencial - Fatura de serviços prestados Clique para detalhamento da fatura Emotion Cards - UOL - Parabéns você recebeu um Presente Virtual Febraban - Guia de Segurança - Febrasoft Security Finasa - Nossa Caixa - Fraudes Bancárias - Febraban Fininvest - débito em atraso - pendências financeiras em seu CPF/CNPJ Ganhe uma viagem a Paris - Guia Paris Lumiére Gmail - Gmail Amigo Oculto - Baixar Formulário - E-mail de 1 Giga Humortadela - Piada animada sempre amigos Humortadela - você é 10 - acesse o link e sacaneie Humortadela - você recebeu uma piada animada - Ver Piada Animada Ibest - acesso grátis e fácil - discador ibest - 0800 conexão sem pulso telefônico. Grátis - Download Larissa 22 aninhos - www. mclass. com. br - clique aqui e veja o vídeo Leiam esta informação IMPORTANTe Martins Com Ltda - Setor de Compras - Orçamento Mercado Livre - Aviso - Saldo devedor em aberto na sua conta - e pagamento não for quitado acionaremos departamento jurídico


Lista de Hackers fornecida:   

      

      

Olá, há quanto tempo! Eu me mudei para os Estados Unidos, e perdemos contato... Olha o que a Globo preparou para você neste ano de 2005 - Big Brother Brasil 5 - Baixe o vídeo Overture - Promoção para novos assinantes - Tem cliente procurando, tem você oferecendo, vamos juntar os dois. Seja encontrado por quem quer comprar Paparazzo - globo. com - se você gostou de uma espiada no vídeo Parperfeito - Você foi adicionado aos prediletos - Associado do Par Perfeito Passe Livre de 7 dias no Globo Media Center Promoção Fotolog.net e UBBI - sorteio de 10 Gold Cam por dia - Crie seu fotolog e concorra Radio Terra - dedique uma música Receita Federal - CPF cancelado ou pendente de regularização Saudades de você - Sou alguém que te conheceu há muito tempo, e tive que fazer uma viagem - Espero que goste das fotos SERASA - pendências referentes a seu nome - Extrato de débito SERASA - Regularize seu CPF ou CNPJ - clique para extrato de débitos Sexy Clube - Thaty Rio - Direto do Big Brother - Veja as fotos em primeira mão Sou um amigo seu - você está sendo traído - veja as fotos Symantec - Faça sua atualização do Norton 2005 aqui - Gratuita - Licença para 1 ano grátis Terra Cartões - O meu melhor presente é você Tim pós pago - pendências no SPC - Sistema de Proteção aoCrédito - Serial do Celular


Lista de Hackers fornecida: 

          

  

Microsoft - Ferramenta de remoção de softwares Mal-Intencionados do Microsoft Windows - Windows XP fica a cara de quem recebe um cartão Voxcards Microsoft Software - Este conteúdo foi testado e é fornecido a você pela Microsoft Corporation - Veja as novidades Music Cards - Confirmação Necktsun Comércio Ltda - Palmas - Departamento de Vendas - Orçamento Netcard Cartões Virtuais - Emoções de verdade Norton Antivírus - Alerta de Segurança - download do antídoto para o Ms. Bruner Notificação Confidencial - Pendências Financeiras em seu CPF O carteiro - você recebeu um cartão de quem te admira O carteiro. com - tenho uma novidade para você - veja o cartão que preparei Voxcards - cartão voxcards - para quem você vai mandar um cartão hoje? Voxcards - mensageiro - você está recebendo um cartão virtual voxcards Precisa instalar o plugin - clique para instalar Webcard Terra - Feliz Dia das Mães - Existe um presente especial esperando por você no site de cartões do terra. Week - Complimentary Subscription Confirmation - Free - Please Apply online PC Week www. symantec. com - A solução Antivírus mais confiável do mundo www.microsoft. com - Proteja seu computador com antivírus


Lista de Hackers fornecida:            

UOL - Promoção Cultural - Cara cadê meu carro UOL Cartões - Estou com saudades - clique para visualizar UOL Cartões - Seu amor lhe enviou um cartão - clique para baixar UOL Cartões - Você recebeu um lindo cartão virtual Veja as fotos proibidas das musas do bbb5 Viagens contaminadas com o w32. bugbear Virtual Cards - Um grande abraço da equipe virtual cards - ler cartão VIVO - Torpedos Web Gratuito - Torpedo Fácil Vivo Yahoo Cartões - Você é tudo para mim - clique na imagem Yahoo Cartões - Você é tudo para mim - enviado por quem te admira Outra dica importante: nunca abra E-Mails de remetentes desconhecidos! Sempre desconfie de E-Mails que solicitam 'clique aqui' ou ' acesse o link (tal)' ou ' veja minha foto' ou ' te encontrei , lembra-se de mim? ' ou ' ligue-me para sairmos' , etc... E, finalmente, para ter certeza que é de um golpe que você está sendo vítima, passe o mouse - sem clicar - pela palavra do direcionamento : você vai ver, na barra inferior - à esquerda da tela -, que se trata de um arquivo com a terminação 'exe' ou 'scr' ou outra. Arquivo este(s) que vai (vão) espionar seu computador, roubando seus dados, senhas, etc.


Lista de Sites suspeitos  No Brasil, o crime compensa: a pena para estelionatário varia apenas

de 1 a 5 anos e não precisa devolver o dinheiro aos lesados. Além disso, o infrator pode ter prisão domiciliar. Parabéns, juristas brasileiros. Obrigado pela impunidade no país.  Aqui vai uma relação das lojas que encontrei na Internet relacionadas a golpes. Seus preços são altamente competitivos e exigem deposito antecipado e pedem de 15 a 20 dias para entregar a mercadoria. Este é o tempo suficiente para aplicar o golpe e lesar milhares de pessoas. A maior quadrilha age em Araçatuba, SP, e a polícia não investiga esses crimes. Acabaram de sumir com o site www.eletrosampa.com.br, http://www.eletrosampa.com.br/, após haver lesado milhares. Digite o nome eletrosampa no google e veja você mesmo. Aí vai a lista de lojas de quadrilhas (sem o www inicial, para evitar conexões acidentais).

146


Lista de Sites suspeitos 

01- ascomputadores.com.br 02- atamicro.com. br 03- atashop.com.br 04- atualmicro.com.br 05- audy.com.br 06- belashop.com.br 07- birishop.com. br 08- bondcompras.com.br 09- buskofertas.com.br 10- claudilivros.com.br 11- clicmicros.com.br 12- compuserveinfo.com.br 13- computecnet.com 14- computronics.com.br 15- cristalshop.com.br 16- cyberfast.com. br 17- ddshop.com.br 18- devairgames.com.br 19- digitalpcs.com.br 20- ecportal.com.br 21- eletromicro.com.br 22- eletrototal.com.br 23- euronote.com.br 24- fiveshop.com.br 25- futuracomputadores.com.br 26- galeriashop.com.br 27- insidecomputers.com.br

28- kaled.com.br 29- kapella.com.br 30- katoecia.com 31- lehugo.com.br 32- litetelecom.com.br 33- matrixshop.com.br 34- maxisound.com.br 35- microata.com.br 36- microfest.com.br 37- multishopcompras.com.br 38- navegantes.com.br 39- netmicros.com.br 40- netstart.com.br 41- nikishop.com.br 42- notestar.com.br 43- o ferta10.com.br 44- pcihouse.com.br 45- pcishop.com.br 46- pcvitrine.com.br 47- perfumesreal.com.br 48- portalmicro.com.br 49- ravelnet.com.br 50- rgsuprimentos.com.br 51- saturtec.com.br 52- shopamerica.com.br 53- shopsummer.com.br 54- viaclic.com.br 55- digitalplay.com.br 56 - Mercado Livre/Pago - vendedor Sebastião Guilherme

147


Lista de Sites suspeitos 

 

Quem for um pouco mais atento, verificará facilmente algumas coincidências 'incríveis' que acontecem com todos esses sites. Aliás, depois de ler esse texto, acho que eles vão mudar a forma como fazem os sites. Observem que todas lojas têm uma seção chamada 'confirmação de pagamento'. Vejam como as seções dessas lojas são incrivelmente iguais (apenas lojas da lista de Araçatuba e Birigui): Acredito que todas lojas da quadrilha citadas na lista possuem o mesmo formulário. Verifiquem a ordem dos campos para preenchimento do comprovante de pagamento, sempre igual: 1- Nome 2- E-mail 3- Número do pedido 4- Data do pagamento 5- Forma de pagamento utilizada 6- Deixe alguma observação sobre o pagamento 7- Valor Depositado / pago 8- Selecione: Integral / Referente ao frete Cada loja virtual tem seu padrão para fazer esses formulários, é impossível serem todas iguais como essas são. Isso é mais um indício de que TODAS essas lojas devem ser da mesma quadrilha. Não se deixem iludir pela argumentação convincente desses representantes da Cyberfast. Ele está apenas querendo fazer com que nós sejamos iludidos e idiotamente enganados. Eles colocam um mediador no fórum (com certeza um deles) e assim convencem os consumidores. Outra coisa: Pesquisas realizadas recentemente demonstram que o Brasil é um dos países que mais recebem ataques de hackers, com o intuito de fraudar usuários da internet, principalmente aqueles que acessam com freqüência sites de bancos.

148


Lista de Sites suspeitos  3 dicas abaixo para verificar a autenticidade do site (talvez você possa

acrescentar uma outra dica...): 1 - Minimize a página: se o teclado virtual for minimizado também, está correto, no entanto, se ele permanecer na tela sem minimizar, é pirata! Não tecle nada.  2 - Sempre que entrar no site do banco, digite sua senha ERRADA na primeira vez . Se aparecer uma mensagem de erro significa que site é realmente do banco, porque o sistema tem como checar a senha digitada. Mas se digitar a senha errada e não acusar erro é mau sinal. Sites piratas não tem como conferir a informação, o objetivo é apenas capturar a senha. 3 - Sempre que entrar no site do banco, verifique se no rodapé da página aparece o ícone de um cadeado. Clique 2 vezes sobre esse ícone e uma pequena janela com informações sobre a autenticidade do site deve aparecer. Em alguns sites piratas o cadeado pode até aparecer, mas será apenas uma imagem e ao clicar 2 vezes sobre ele, nada irá contecer. Os 3 pequenos procedimentos acima são simples, mas garantirão que você jamais seja vítima de fraude virtual. 149


Symantec: relatório mapeia mercado negro de dados 

Um estudo conduzido pela Symantec mapeou o mercado negro de dados. O relatório traz o preço das informações negociadas por criminosos e mostra como as empresas podem ter prejuízos com a vulnerabilidade dos dados dos clientes. Segundo Marcelo Silva, diretor de serviços da companhia no Brasil, já existe um ecossistema criado em torno do roubo de dados. “Quem rouba nem sempre vende os dados. A gente fala de crime organizado, mas o que existe é um grande mercado”, afirma o executivo. Veja tabela com o preço dos dados no mercado negro:

Produto Contas bancárias Cartões de crédito Identidades completas Contas do eBay Senhas de e-mail Proxies

Preço de 10 dólares a mil dólares de 0,40 dólar a 20 dólares de 1 dólar a 15 dólares de 1 dólar a 18 dólares de 4 dólares a 30 dólares de 1,5 dólar a 30 dólares

CW Connect - No grupo de discussão sobre Crimes Digitais do CW Connect, a primeira rede social para profissionais de tecnologia da informação e telecomunicações do mercado, uma das participantes - a analista Fabiana inseriu uma pesquisa sobre as principais ameaças às informações da empresa: 1 - Vírus 75% (Por falta de conhecimento os usuários baixam programas sem conhecimento, acessam sites suspeitos, etc) 2 - Divulgação de senhas 57% 3 - Hackers 44% 4 - Funcionários insatisfeitos 42% 5 - Acessos indevidos 40% 6 - Vazamento de informações 33%


151


152


Análise de Segurança – Origem de ataques informáticos: • 85% são originados na rede interna de uma organização • 15% são originados em plataformas externas – Método de levantamento remoto de recursos • Recolher o máximo de informação para caracterizar o sistema alvo • Analisar a informação que o sistema disponibiliza através das mensagens de serviços instalados • Utilizar aplicações especializadas e desenvolvidas para esse fim, com base nas idiossincrasias da pilha IP do sistema a analisar

153


Análise de Segurança 

São falhas em serviços, aplicativos e sistemas operacionais que pode acarretar acesso ao sistemas parcial ou total em nível de administração.  Hoje temos ferramentas de escaneamento de vulnerabilidades que detecta falhas de sistemas, mais também são utilizadas para invasão.  Segundo o site sectools.org temos as 10 principais ferramentas de escaneamento de vulnerabilidades de sistemas. – Nessus, GFI LANguard, Retina, Core Impact, ISS Internet Scanner, X-scan, Sara, QualysGuard, SAINT, MBSA

154


O Que é Análise de Rede? Dados

Usuário Rede

0100101101001

 Falhas da Rede causam problemas de performance  Sniffer® provê a visão mais detalhada do tráfego de rede - Total Network Visibility  Sniffer é o produto com maior facilidade de uso do mercado, que resolve problemas em redes de qualquer tamanho e complexidade


Soluções para a Insegurança Informática  NMAP

- É uma ferramenta para exploração de rede criada pelo Fyodor. É uma das ferramentas mais importantes para engenharia de segurança ou pentester. Com ele você poderá entrar em uma rede e buscar serviços que estão escutando em cada porta especifica. Você pode fazer um varredura de tcp()connect que fará uma conexão completa com o host ou uma syn scan que fará uma simples conexão que servirá para testar regras de firewall por exemplo. 156


Soluções para a Insegurança Informática  NMAP (I)

Alvo: MS-Windows 95 modificado 157


Soluções para a Insegurança Informática  NMAP (II)

Alvo: Linux Mandrake modificado 158


Soluções para a Insegurança Informática

 NMAP (comandos)

Um rastreio(scan) típico do Nmap é mostrado em Example 1, “Uma amostra de rastreio(scan) do Nmap”. Os únicos argumentos que o Nmap utiliza nesse exemplo são -A para permitir a detecção de SO e a versão -T4 para execução mais rápida e os nomes de anfitrião(hostnames) de dois alvos. 159


Soluções para a Insegurança Informática

 NMAP (comandos - Ubuntu)

Version detection: Após as portas TCP e/ou UDP serem descobertas por algum dos métodos, o nmap irá determinar qual o serviço está rodando atualmente. O arquivo nmapservice-probes é utilizado para determinar tipos de protocolos, nome da aplicação, número da versão e outros detalhes 160


Soluções para a Insegurança Informática  NMAP (comandos - Ubuntu) D <decoy1,[decoy2],[SEU_IP]...> Durante uma varredura, utiliza uma série de endereços falsificados, simulando que o scanning tenha originado desses vários hosts, sendo praticamente impossível identificar a verdadeira origem da varredura. sudo nmap -D IP1,IP2,IP3,IP4,IP6,SEU_IP 192.168.0.1 161


Soluções para a Insegurança Informática  Análise de Segurança

– Método de detecção remota de vulnerabilidades • Aplicações como o NMAP não tiram conclusões • Existe outro tipo de aplicação que efectua o levantamento remoto de recursos, detecta vulnerabilidades, alerta o utilizador ou lança ataques – NESSUS (Nessus Security Scanner) • É uma ferramenta sofisticada que funciona de forma semiautomática • Pode ser usada para obter relatórios de segurança informática • Também pode ser utilizada para “atacar “ uma plataforma • Incorpora ataques de negação de serviço, teste de exploits, etc • Facilita muito a actividade dos crackers

162


Soluções para a Insegurança Informática  NESSUS - Até há pouco tempo o Nessus só funcionava no Linux, mas recentemente foi lançado o Nessus para Windows. É uma excelente ferramenta designada para testar e descobrir falhas de segurança (portas, vulnerabilidades, exploits) de uma ou mais máquinas. - Estas falhas ou problemas podem ser descobertos por um grupo hacker, um único hacker, uma empresa de segurança ou pelo próprio fabricante, podendo ser de maneira acidental ou proposital, O Nessus ajuda a identificar e resolver estes problemas antes que alguém tire vantagem destes com propósitos maliciosos.

163


Soluções para a Insegurança Informática  NESSUS Alvo: Linux SuSE Detectando Nmap

164


Soluções para a Insegurança Informática  NESSUS Alvo: MSWindows 95 Detectando Nmpa

165


Soluções para a Insegurança InformáticaAlvo: Linux RedHat após instalação  NESSUS

166


Soluções para a Insegurança Informática  NESSUS Verificação da pópria máquina

167


Soluções para a Insegurança Informática  NESSUS - Report


Soluções para a Insegurança Informática  NESSUS – Report com formato HTML


Soluções para a Insegurança Informática  Ethereal - Além do Nessus, outro aliado importante é o Ethereal, um poderoso sniffer. Bem, assim como o Nessus ele pode ser usado tanto para proteger seu sistema quanto para roubar dados dos vizinhos, uma faca de dois gumes, por isso ele é às vezes visto como uma "ferramenta hacker" quando na verdade o objetivo do programa é dar a você o controle sobre o que entra e sai da sua máquina e a possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso não autorizado.

170


Soluções para a Insegurança Informática - Ethereal  Ethereal


Soluções para a Insegurança Informática - Ethereal


Soluções para a Insegurança Informática - Ethereal


Soluções para a Insegurança Informática - Ethereal


Soluções para a Insegurança Informática - Ethereal


Soluções para a Insegurança Informática - Ethereal


Exemplo de Captura: POP3 16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S 6928467:6928467(0) win 8192 <mss 1460> (DF) 16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S 3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF) 16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win 8760 (DF) 16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47) ack 1 win 8760 (DF) Início da conexão 4500 0057 dd14 4000 fe06 07f0 c885 2201 : E..W..@.......". TCP (3-way handshake) ac10 0105 006e 0415 c245 8897 0069 b854 : .....n...E...i.T 5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP 2028 7665 7273 696f 6e20 322e 3533 2920 : (version 2.53) 6174 2063 6170 Dados 6962 6120 6172 7469 : at capiba starti do 7374 protocolo 6e67 2e20 200d passando 0a : ng. .. às claras 16:15:14.680000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 1:12(11) ack 48 win 8713 (DF) 4500 0033 870c 4000 2006 3c1d ac10 0105 : E..3..@. .<..... c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E.. 5018 2209 4e42 0000 5553 4552 206d 6d6d : P.".NB..USER mmm Identificação do usuário 6d0d 0a : m.. passando às claras > 172.16.1.5.1045: . ack 12 win 16:15:14.690000 capiba.cesar.org.br.pop3 8760 (DF)


Exemplo de captura: POP3

16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33) ack 12 win 8760 (DF) 4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......". ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._ 5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass 776f 7264 2072 6571 7569 7265 6420 666f : word required fo 7220 6d6d 6d6d 2e0d 0a : r mmmm... 16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17) ack 81 win 8680 (DF) 4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;..... c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E.. 5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l 6c61 2a67 616d 2a0d 0a : @f1t@..

Senha do usuário passando às claras


Soluções para a Insegurança Informática  Segurança Ativa

– Instalar um sistema de proteção é uma boa solução de segurança – Porém a segurança está a tornar-se cada vez mais volátil – É necessário testar os próprios sistemas de protecção: • O administrador actua externamente como um hacker • Monitoriza remotamente as redes que administra • Efectua periodicamente levantamentos remotos de recursos • Realiza testes de penetração e ataques informáticos “reais” – Os recursos necessários para a segurança activa são: • Uma plataforma remota com acesso IP sem restrições • Uma boa largura de banda (um ISP comercial serve) 179


Soluções para a Insegurança Informática  Segurança Ativa

– Através de monitorização remota • Confirma se os serviços para o exterior estão operacionais • Usa plataforma externa com carácter periódico muito frequente – Através de auditoria remota • Efectua periodicamente um levantamento de recursos • Usa plataforma externa com baixo carácter periódico – Através de acções remotas preventivas • Realiza testes de penetração e ataques informáticos “reais” • Usa plataforma externa de forma casuística – Através da aplicação rápida de actualizações 180


Soluções para a Insegurança  Uma Solução a Custo Zero

– Usar um PC actualizado (2 ou mais interfaces de rede) – Instalar Linux/Windows com funcionalidades de firewall – Ponto a ser explorado e a pasta compartilhada c$ que fornece direito a administrador do computador sendo assim terá controle completo do computador (Resolução do problema remover o compartilhamento ou deixar somente acesso o usuário administrador). – Juntar um router IP capaz de efectuar filtragem de pacotes (opcional) – Instalar e configurar o software de firewall: • IPTABLES – analisa pacotes IP e gere a filtragem/encaminhamento • NETFILTER – permite manipulações complexas a nível de sessão • SNORT – sistema IDS muito sofisticado e flexível • NMAP – aplicação de identificação activa (para resposta a ataques) • P0F – aplicação de identificação passiva (detecção de sistemas) • NESSUS – aplicação de teste e validação da configuração • Proxies de aplicação q. b. 181


Os objetivos da Segurança da Informação são:  Manutenção dos serviços prestados pela

empresa  Segurança do corpo funcional  Em caso de problemas: – detecção das causas e origens dos problemas no menor prazo possível, minimização das conseqüências dos mesmos, retorno às condições normais no menor prazo, com o menor custo e com o menor trauma possíveis 182


Técnicas para Alcançar os Objetivos da Segurança  Detecção e análise dos pontos vulneráveis  Estabelecimento de políticas de segurança

(técnicas de segurança incluem aspectos do hardware computacional, rotinas programadas e procedimentos manuais, bem como os meios físicos usuais de segurança local e segurança de pessoal, fechaduras, chaves e distintivos).

183


Técnicas para Alcançar os Objectivos da Segurança  Execução das políticas de segurança  Avaliação dos resultados contra os

objetivos traçados  Correção de objetivos e políticas  Gestão de acesso

184


Técnicas para Alcançar os Objetivos da Segurança  Basicamente, deve ser criado um Plano de

Segurança (como evitar problemas) e um Plano de Contingência (o que fazer em caso de problemas).  É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros, guerras, ou a uma simples maionese com salmonela na festa de fim de ano da empresa. 185


Técnicas para Alcançar os Objetivos da Segurança  Trata-se de descobrir os pontos vulneráveis,

avaliar os riscos, tomar as providências adequadas e investir o necessário para ter uma segurança homogênea e suficiente.  Se a empresa fatura 250.000€ por mês não se pode ter a mesma segurança que uma empresa que fature 1 ou 2 milhões mensais. Sempre existirão riscos. O que não se pode admitir é o descaso com a segurança. 186


Técnicas para Alcançar os Objetivos da Segurança  Deve-se perguntar: – Proteger O QUÊ? – Proteger DE QUEM? – Proteger A QUE CUSTOS? – Proteger COM QUE RISCOS?  O axioma da segurança é bastante

conhecido de todos, mas é verdadeiro: – "Uma corrente não é mais forte do que o seu elo mais fraco" 187


GerĂŞncia de Risco


Custo de Seguranรงa:

189


Custo Visiveis x Invisiveis:

190


Atualização do ambiente Quando as ameaças ocorrem?

A maioria dos ataques acontece aqui

Produto Lançado

Vulnerabilidade Fix descoberta disponível

Fix instalado pelo cliente


Atualização do ambiente Tempo para a invasão diminuindo Invasão

331 O tempo (em dias) entre a 18 disponibilização da Produto 0 151 Vulnerabilidade Fix Fix instalado Lançado descobertacorreção disponível e a invasão pelo cliente 25 tem diminuído, 14 portanto a aplicação Nimd SQL Welchia Blaste Sasser de “patches” não pode a Slamm / Nachi r er ser a única defesa em grandes empresas


Atualização do ambiente Worm Zotob  09/08 - A Microsoft

publica a correção  11/08 - A Microsoft

informa que um ataque está na eminencia de acontecer sobre essa vulnerabilidade  17/08 - CNN e ABC

são atacadas


Principais Problemas Encontrados Orçamento limitado

70

Pouco tempo Poucas pessoas

60

Pouco treinamento

50

Falta de suporte

40

Infra-estrutura de TI complexa

30

Equipe de TI desqualificada Falta de cooperação entre equipes

20

Políticas de segurança pouco definidas

10

Baixa maturidade de ferramentas de TI Infra-estrutura de TI mal desenhada

0 Problemas

Falta de colaboração entre equipes de TI e Segurança

Computerworld nº 398 de 19 de novembro 20039 – Pesquisa realizada pela revista americana CIO e Pricewaterhouse Coopers


Atitude de Segurança  Reativa

– Resposta a incidentes; – Investigações; – Aplicação de sanções. Preventiva   

 

Planejamento; Normalização; Infra-estrutura segura; Educação e Treinamento; Auditoria.


Medidas de Segurança            

Política de Segurança; Política de utilização da Internet e Correio Eletrônico; Política de instalação e utilização de softwares; Plano de Classificação das Informações; Auditoria; Análise de Riscos; Análise de Vulnerabilidades; Análise da Política de Backup; Plano de Ação Operacional; Plano de Contingência; Capacitação Técnica; Processo de Conscientização dos Usuários.


Medidas de Segurança             

Backups; Antivírus; Firewall; Detecção de Intruso (IDS); Servidor Proxy; Filtros de Conteúdo; Sistema de Backup; Monitoração; Sistema de Controle de Acesso; Criptografia Forte; Certificação Digital; Teste de Invasão; Segurança do acesso físico aos locais críticos.


Principais Desafios  Definição de Padrões e Políticas;  Mudar a atitude de segurança;  Demonstrar o retorno sobre o

investimento;  Projeto de Segurança da Informação X Projetos ligados ao negócio da empresa;  Fazer com que a Segurança da Informação seja um custo operacional;  Conscientizar os executivos;  Motivar e treinar os usuários;  Capacitar a equipe técnica.


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques

6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

199


6 - Princípios Básicos na Segurança

200


Princípios de Segurança

Segurança

Privacidade

Confiabilidade

Integridade


Definição de segurança computacional  Confidencialidade (1)  É a manutenção do sigilo das informações ou dos recursos

 A violação da confidencialidade ocorre com a revelação não autorizada da informação ou dos recursos  A prevenção contra as ameaças à confidencialidade em SI pode ser alcançada com a aplicação de mecanismos de controle de acesso e com técnicas de criptografia e de segurança de redes  A confidencialidade também se aplica a mera existência de um dado, que pode ser mais importante do que o dado em si  Todos os mecanismos que impõem confidencialidade requerem serviços para suportá-los – suposições e confiança

202


Definição de segurança computacional  Confidencialidade (2)  Exemplo: criptografia como mecanismo de controle de acesso  A criptografia do extrato de uma conta corrente previne alguém de lê-lo. Caso o correntista precise de ver o extrato, ele precisa ser decifrado. Apenas o possuidor da chave criptográfica, utilizando o programa de decifração, pode fazê-lo. Entretanto, se outro conseguir ler a chave, a confidencialidade do extrato fica comprometida  O problema da confidencialidade do extrato se reduz agora à confidencialidade da chave criptográfica, que deve ser protegida

 Exemplo: proteção da existência de um dado  Saber que um indivíduo é um cliente VIP de um banco pode ser mais importante que saber quais/quantos são os recursos que ele possui aplicados

203


Definição de segurança computacional  Integridade (1)  Refere-se a confiabilidade da informação ou dos recursos

 A violação da integridade ocorre pela modificação imprópria ou não autorizada da informação ou dos recursos  Integridade de dados  Confiabilidade do conteúdo dos dados

 Integridade de origem  Confiabilidade da fonte dos dados – autenticação  Sustenta-se na acurácia (medidas para caracterizar a precisão de uma grandeza medida) e na credibilidade da fonte e na confiança que as pessoas depositam na informação

204


Definição de segurança computacional  Integridade (2)  Classes de mecanismos para integridade  Mecanismos de prevenção  Objetivam manter a integridade dos dados com o bloqueio de qualquer tentativa não autorizada de modificá-los ou qualquer tentativa de modificá-los por meios não autorizados – acesso e uso não autorizados

 Autenticação e controle de acessos adequados, em geral, são eficazes para prevenir o acesso não autorizado  O uso não autorizado requer formas de controle distintas, sendo mais difícil de prevenir  Mecanismos de detecção  Buscam reportar que a integridade dos dados não é mais confiável, em parte ou no todo  A criptografia pode ser usada para detectar violações de integridade

 A avaliação da integridade é de difícil realização por basear-se em suposições sobre a fonte dos dados e da sua confiabilidade 205


Definição de segurança computacional  Integridade (3)  Exemplo: corrupção da integridade de origem  Um jornal pode noticiar uma informação obtida de um vazamento no Palácio do Planalto, mas atribuí-la a uma fonte errada. A informação é impressa como recebida (integridade dos dados preservada), mas a fonte é incorreta (corrupção na integridade de origem )

 Exemplo: distinção entre acesso e uso não autorizados  Num sistema contábil, o acesso não autorizado ocorre quando alguém quebra a segurança para tentar modificar o dado de uma conta, por exemplo, para quitar um débito, sem autoridade para tal  Agora, quando o contador da empresa tenta apropriar-se de dinheiro desviando-o para contas no exterior e ocultado respectivas transações, então ele está abusando de sua autoridade – embora possa, ele não deve fazê-lo

206


Definição de segurança computacional  Disponibilidade (1)  Refere-se a capacidade de usar a informação ou o recurso desejado

 A violação da disponibilidade ocorre com a retenção não autorizada de informações ou recursos computacionais  Ataques de recusa de serviço – denial of service attacks

 Usualmente definido em termos de “qualidade de serviço”  Usuários autorizados esperam receber um nível específico de serviço, estabelecido em termos de uma métrica

 Mecanismos para prevenção/detecção eficazes são difíceis de implementar e podem ser manipulados

207


Definição de segurança computacional  Disponibilidade (2)

– Exemplo: manipulação de mecanismos de disponibilidade • Suponha que Ana tenha comprometido o servidor secundário de um banco, que fornece os saldos das contas correntes. Quando alguém solicita informações ao servidor, Ana pode fornecer a informação que desejar. Caixas validam saques contatando o servidor primário. Caso ele não obtenha resposta, o servidor secundário é solicitado. Um cúmplice de Ana impede que caixas contactem o servidor primário, de modo que todos eles acessam o servidor secundário. Ana nunca tem um saque ou cheque recusado, independente do saldo real em conta • Note que se o banco tivesse apenas o servidor primário, este esquema não funcionaria – o caixa não teria como validar o saque

208


Princípios Básicos em Segurança  Confidencialidade: – proteção da informação compartilhada contra acessos não autorizados; obtém-se a confidencialidade pelo controle de acesso (senhas) e controle das operações individuais de cada utilizador (log).  Autenticidade: – garantia da identidade dos utilizadores.

209


Princípios Básicos em Segurança  Integridade: – garantia da veracidade da informação, que não pode ser corrompida (alterações acidentais ou não autorizadas).  Disponibilidade: – prevenção de interrupções na operação de todo o sistema (hardware + software); uma quebra do sistema não deve impedir o acesso aos dados. 210


Resumo para Atingir Segurança: Pessoas + Processos + Ferramentas Pessoas: Executam os Processos e usam as Ferramentas Para atingir os Objetivos

Ferramentas: SĂŁo manipuladas pelas Pessoas, seguindo os Processos para atingir os Objetivos

Processos: Descrevem como as Pessoas irĂŁo usar as Ferramentas para atingir os Objetivos

> 211


Cenário Atual A convergência digital traz impactos:

COMPORTAMENTAIS LEGAIS

ÉTICOS


Situação das Ferramentas de Segurança -

Detecção – preventiva ou contingencial (resposta a incidente)

Tradicional – mínimo de VPN, Firewall, Antivirus, Anti-spyware, regras ACL em reoteador, bloqueio de acessos. Diferenciada – com uso de Multicamadas como: -

Uso de Virtual Patch;

-

Uso de Anti-virus (melhor é o comportamental);

-

Mas é preciso muito Uso de Filtro de Conteúdo; mais do que apenas Uso de IDS e IPS, filtro web e filtro anti-spam; Uso de ferramenta detecnologia! detecção de anomalias no servidor;

-

Bloqueio de ataques Buffer Overflow;

-

Controle de Aplicativos;

-

Scanning ativo e passivo – mapeamento de vulnerabilidades, uso de metodologia de auditoria.

-

-


O que precisamos fazer  Gestão do Risco em 3 níveis: – 1º. Nível – Tecnologias Elaborando Política de – 2º. Nível – Processos Segurança da Informação – 3º. Nível – Pessoas e o Código de Conduta do Funcionário

 Com medidas: Palestras e – Corretivas – em caráter emergencial cartilhas – Preventivas – em caráter Estrutural – Orientativas – em caráter Educacional


Ameaças Digitais Riscos Atuais – Cenário Vulnerabilidades “o erro humano é sintoma de problemas profundos da organização”. Dekker

Usuário

Várias pesquisas apontam o fator humano como a maior ameaça às informações.


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques 6. Princípios Básicos na Segurança

7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

216


7 - Situações de Insegurança

217


SITUAÇÕES DE INSEGURANÇA  Catástrofe – Incêndio acidental ou intencional – Inundação de caves ou salas com risco potencial, por fuga dos canos ou por goteiras – Explosão intencional ou provocada por fuga de gás (em botijas ou encanado) – Desabamento parcial ou total do prédio – Impacto de escombros da cobertura (teto de gesso, teto falso ou telhado) – Grande sobrecarga na rede elétrica ou relâmpagos que causam queima total de equipamentos 218


SITUAÇÕES DE INSEGURANÇA  Problemas ambientais – Variações térmicas - excesso de calor causa travamentos e destrói os suportes; excesso de frio congela fisicamente dispositivos mecânicos, como discos rígidos. – Humidade - inimigo potencial de todas os suportes magnéticos. – Poeira depositada nas cabeças de leitura e gravação dos drivers, pode destruir fisicamente um disquete, uma fita ou um culler. – Ruído causa stress no pessoal. 219


SITUAÇÕES DE INSEGURANÇA  Problemas ambientais – Fumo - o fumo do cigarro deposita uma camada de componentes químicos nas cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de disquetes e fitas; fumos de incêndios próximos é muito mais perigosa. – Magnetismo - grande inimigo dos suportes magnéticos, pode desgravar disquetes, fitas e discos rígidos. – Trepidação - pode afrouxar placas e componentes em geral, além de destruir discos rígidos. 220


SITUAÇÕES DE INSEGURANÇA  Supressão de serviços – Falha de energia elétrica - grande risco potencial, à medida que paralisa totalmente todas as funções relacionadas à informática. – Queda nas comunicações - grande risco potencial, pois isola o site do resto do mundo; risco de perda de dados. – Bloqueio nos equipamentos - problema bastante comum, resolvido com backup de informações e de hardware. – Bloqueio na rede - isola um ou mais computadores de um mesmo site; risco potencial de perda de dados. 221


SITUAÇÕES DE INSEGURANÇA  Supressão de serviços – Problemas nos sistemas operacionais - risco potencialmente explosivo, pois podem comprometer a integridade de todos os dados do sistema e até mesmo inviabilizar a operação; eliminam a confiança da equipa. – Problemas nos sistemas corporativos - grande risco, causam grande transtorno e perdas de dados. – Bloqueio de sistema - igualmente um grande risco. 222


SITUAÇÕES DE INSEGURANÇA  Comportamento anti-social – Paralisações e greves - problema contornável se houver condução política adequada. – Invasões - altíssimo risco de destruição acidental ou intencional. – Hacker - Pessoa que tenta aceder a sistemas sem autorização, usando técnicas próprias ou não, no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objetivos da ação, pode ser chamado Cracker, Lammer ou BlackHat • indivíduo que conhece profundamente um computador e um sistema operacional e invade o site sem finalidade destrutiva.

– Alcoolismo e drogas - risco de comportamento anómalo de funcionários, com conseqüências imprevisíveis.

223


SITUAÇÕES DE INSEGURANÇA  Comportamento anti-social – Disputas exacerbadas - entre pessoas podem levar à sabotagem e alteração ou destruição de dados ou de cópias de segurança. – Falta de espírito de equipa - falta de coordenação, onde cada funcionário trabalha individualmente; risco de omissão ou duplicação de procedimentos. – Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir dados de outro funcionário. – Rixas - entre funcionários, setores, administração, diretorias - mesmo caso do item anterior, porém de conseqüências mais intensas. 224


SITUAÇÕES DE INSEGURANÇA  Ação criminosa – Furtos e roubos - conseqüências imprevisíveis, podem inviabilizar completamente os negócios da empresa. – Fraudes - modificação de dados, com vantagens para o elemento agressor. – Sabotagem - modificação deliberada de qualquer ativo da empresa. – Terrorismo - de conseqüências imprevisíveis, pode causar mortes, a destruição total dos negócios ou de mesmo de toda a empresa. 225


SITUAÇÕES DE INSEGURANÇA  Ação criminosa – Atentados - uso de explosivos, com as mesmas conseqüências do item anterior. – Sequestros - ação contra pessoas que tenham alguma informação. – Espionagem industrial - captação não autorizada de software, dados ou comunicação. – Cracker - indivíduo que conhece profundamente um computador e um sistema operacional e invade o site com finalidade destrutiva.

226


SITUAÇÕES DE INSEGURANÇA  Incidentes variados – Erros de utilizadores - de conseqüências imprevisíveis, desde problemas insignificantes até a perda de uma faturação inteira; erros de utilizadores costumam contaminar as cópias de segurança (backup) quando não detectados a tempo. – Erros em backups - risco sério de perda de dados; o backup sempre deve ser verificado. – Uso inadequado dos sistemas - normalmente ocasionado por falta de treino, falta de documentação adequada do sistema ou falta de capacidade de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item Erros 227 de utilizadores.


SITUAÇÕES DE INSEGURANÇA  Incidentes variados

– Manipulação errada de ficheiros - costuma causar perda de ficheiros e pode contaminar as cópias de segurança. – Treino insuficiente - inevitavelmente causa erros e uso inadequado. – Ausência/demissão de funcionário - é problemático se a pessoa ausente for a única que conhece determinados procedimentos. – Stress/sobrecarga de trabalho - uma pessoa sobrecarregada é mais propensa a cometer erros e adoptar atitudes anti-sociais. – Equipa de limpeza - deve receber o treino adequado sobre segurança. 228


SITUAÇÕES DE INSEGURANÇA  Contaminação eletrônica – Vírus - programa que insere uma cópia sua em outros programas executáveis ou no sector de boot; os vírus replicam-se através da execução do programa infectado. – Bactéria - programa que se reproduz a si próprio e vai consumindo recursos do processador e memória. – Verme - programa que se reproduz através de redes.

229


SITUAÇÕES DE INSEGURANÇA  Contaminação eletrônica

– Cavalo de Tróia - programa aparentemente inofensivo e útil, mas que contém um código oculto indesejável ou danoso. – Ameba - utilizador que, sem ter conhecimento para tanto, mexe na configuração do computador ou do software, causando problemas, perda de dados, encravamento da máquina, etc. – Falhas na segurança dos serviços - os serviços da Internet são potencialmente sujeitos a falhas de segurança, basicamente devido ao fato de o UNIX ter sido construído em ambiente universitário, que visava um processamento cooperativo e não a segurança; além disto, o UNIX é muito bem conhecido por hackers e crackers. 230


Seguranรงa de Redes sem Fio - Warchalking


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques 6. Princípios Básicos na Segurança 7. Situações de Insegurança

8. Prejuízos 9. Modelo Aplicado à Segurança 10. Normas

232


8 - PrejuĂ­zos

233


OS PREJUÍZOS  A Informática é o centro nevrálgico da empresa.

Qualquer pequeno problema no(s) servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários ou mesmo todos os departamentos da empresa. Quanto maior o grau de integração dos sistemas, quanto maior o volume e a complexidade dos negócios, maior será a dependência em relação à Informática.  Graus de severidade. – Podemos classificar os prejuízos decorrentes de problemas com segurança em graus de severidade, conforme a abrangência dos danos e as providências tomadas para retornar à normalidade:

234


Graus de Severidade  INSIGNIFICANTES – casos em que o problema ocorre, é detectado e corrigido sem maiores repercussões. São problemas isolados, sem nenhuma repercussão na estrutura computacional da empresa. – O maior prejuízo é a despesa com a mão de obra alocada, ou algum suprimento desperdiçado.

– Um exemplo é a presença de vírus num computador, que é prontamente detectado e exterminado. Certamente é necessário um grande investimento em segurança para que os problemas possam ser prontamente resolvidos e os prejuízos minimizados;

235


Graus de Severidade  PEQUENOS – O problema ocorre, existindo uma repercussão mínima na estrutura computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos dados corporativos, a recuperação via backup da posição anterior e a necessidade de redigitar a movimentação de um dia. – Ou, a destruição física, acidental ou propositada, de um servidor corporativo, com a necessidade de substituição rapidamente, mas sem perda dos dados. – Os prejuízos são restritos ao âmbito da empresa, sem repercussões nos seus negócios e sem interferências com seus clientes; 236


Graus de Severidade  MÉDIOS – o problema ocorre, provoca repercussão nos negócios da empresa e interfere com os seus clientes, mas a situação consegue ser resolvida de maneira satisfatória, normalmente com um grande esforço e com maior ou menor desgaste interno e externo da empresa. Exemplos: erros graves no faturação, perda de dados sem backup;

237


Graus de Severidade  GRANDES – repercussões irreversíveis de caráter interno ou externo, com perda total de dados, prejuízo financeiro irrecuperável, perda de clientes, perda de imagem e posição no mercado;  CATASTRÓFICOS – prejuízos irrecuperáveis, que podem dar origem a processos judiciais e falência da empresa

238


Prejuízos em Função do Tempo  Quando ocorre algum problema que

provoque uma paralisação, os prejuízos menos importantes são percebidos imediatamente.  Outros, normalmente os maiores, somente

serão percebidos posteriormente, e será muito difícil, ou mesmo impossível, reparálos.

239


Prejuízos em Função do Tempo  Problemas de segurança com graus de

severidade INSIGNIFICANTE e PEQUENO somente causam prejuízos imediatos, tais como: – Paralisação das atividades normais da empresa – Danos materiais, variáveis conforme o problema ocorrido – Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos, normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes do erro – Atritos internos em função da responsabilização pelo erro 240


Prejuízos em Função do Tempo  Normalmente problemas com grau de

severidade MÉDIO causam poucos prejuízos a médio e longo prazos, que são: – – – – – –

Desvio nos objetivos da empresa Perda de mercado Perda de imagem Perda de credibilidade Desânimo e perda de funcionários Atritos internos extremamente sérios e atritos externos em função da responsabilização pelo erro

241


Prejuízos em Função do Tempo  Problemas com grau de severidade

GRANDE e CATASTRÓFICO certamente causam os supra citados prejuízos a médio e longo prazo, podendo causar o encerramento das atividades da empresa e pendências com a Justiça para seus diretores e funcionários.

242


Prejuízos em Função do Tempo  A queda na eficiência dos negócios da empresa após

um acidente sério com informática é drástica, como indica o gráfico abaixo. • ordenadas, temos a eficiência da empresa; • abcissas, o intervalo em dias após o evento.

243


Custos da Reposição da Informações  Podem ocorrer prejuízos altíssimos em

caso de problemas sérios, considerando, entre outros, alocação de recursos humanos adicionais, procura de documentos, redigitação das informações, reconstrução do local e reposição de hardware e software, multas, etc. 244


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques

6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos

9. Modelo Aplicado à Segurança 10. Normas

245


9 - Modelo Aplicado à Segurança

246


Modelo aplicado à segurança Controle Sistemático

Gestão Operacional

Definição de Políticas

Ações Concretas

247


Implementação de um SI ANALISAR

INVESTIGAR

MANTER

Desenvolvendo soluções em sistemas de informação

PROJETAR

IMPLANTAR

248


Implementando um SI 

Compreender o problema – Determinar se existe um problema ou oportunidades empresariais. – Realizar um estudo de viabilidade para determinar se um sistema de informação novo ou aprimorado é uma solução viável. – Desenvolver um plano de gerenciamento de projeto e obter aprovação da administração.

Desenvolver uma solução – Analisar as necessidades de informação dos usuários finais, o ambiente organizacional e todo sistema atualmente em uso. – Desenvolver os requisitos funcionais de um sistema que possa atender as necessidades dos usuários finais. – Desenvolver especificações para os recursos de hardware, software, pessoal, rede e dados e os produtos de informação que atenderão os requisitos funcionais do sistema proposto.

Implantar a Solução – Adquirir (ou desenvolver) hardware software. – Testar o sistema treinar pessoal para operá-lo e utilizá-lo. – Converter para o novo sistema. – Utilizar um processo de revisão pós-implantação para monitorar, avaliar e modificar o sistema conforme for necessário. 249


Implementando um SI 

Compreender o problema – Determinar se existe um problema ou oportunidades empresariais. – Realizar um estudo de viabilidade para determinar se um sistema de informação novo ou aprimorado é uma solução viável. – Desenvolver um plano de gerenciamento de projeto e obter aprovação da administração.

Desenvolver uma solução – Analisar as necessidades de informação dos usuários finais, o ambiente organizacional e todo sistema atualmente em uso. – Desenvolver os requisitos funcionais de um sistema que possa atender as necessidades dos usuários finais. – Desenvolver especificações para os recursos de hardware, software, pessoal, rede e dados e os produtos de informação que atenderão os requisitos funcionais do sistema proposto.

Implantar a Solução – Adquirir (ou desenvolver) hardware software. – Testar o sistema treinar pessoal para operá-lo e utilizá-lo. – Converter para o novo sistema. – Utilizar um processo de revisão pós-implantação para monitorar, avaliar e modificar o sistema conforme for necessário. 250


Coleta de Dados  Coleta de dados para implementar um

sistema de informação – Entrevistas com funcionários,clientes e gerentes. – Questionários para os devidos usuários finais na organização. – Observação pessoal, gravação em vídeo ou envolvimento nas atividades de trabalho dos usuários finais. – Exame de documentos, relatórios, manuais de procedimentos e ouros registros. – Desenvolvimentos, simulação e observação de um modelo das atividades de trabalho 251


Técnicas de Segurança  Definição de políticas de segurança – Planos, políticas e procedimentos de segurança – Análise do risco – Desenho de soluções de segurança  Ações concretas – Gestão e controlo de acesso – Detecção de intrusão – Autenticação – Certificados digitais – ...

252


Técnicas de Segurança  Gestão Operacional – Gestão, manutenção e controlo (dia-a-dia da segurança)

– Tratamento de vulnerabilidades – Análise de logs de Firewall e Internet

 Controlo Sistemático – Análise externa de vulnerabilidades – Testes de intrusão – Análise de incidentes – Auditorias (funcional, interna, de mail, ...) 253


Ciclo de Vida de Segurança O que precisa ser protegido?

Simulação de um ataque

Como proteger?

Qual prejuízo, se ataque sucedido?

Qual é nível da proteção?

Qual é probabilidade de um ataque? 254


Posturas de Segurança Postura frente a Segurança Os “4 Ps” Paranóia

Prudência Permissividade Promiscuidade O bom senso coloca o administrador em um ponto próximo a prudência. É lógico que dependo do que está se protegendo, pois a proteção de um Home Bank coloca o administrador exatamente sobre o primeiro “P” 255


Falar em um chat que alguem cometeu algum crime (ex. – ele é um ladrão...)

Calúnia

Art.138 do C.P.

Dar forward para várias pessoas de um boato eletrônico

Difamação

Art.139 do C.P.

Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda, feia, vaca,...)

Injúria

Art.140 do C.P.

Enviar um email dizendo que vai pegar a pessoa

Ameaça

Art.147 do C.P.

Enviar um email para terceiros com informação considerada confidencial

Divulgação de segredo

Art.153 do C.P.

Enviar um virus que destrua equipamento ou conteudos

Dano

Art.163 do C.P.

Copiar um conteudo e não mencionar a fonte, baixar MP3

Violação ao direito autoral

Art.184 do C.P.

Criar uma Comunidade Online que fale sobre pessoas e religiões

Escárnio por motivo de religião

Art.208 do C.P.

Acessar sites pornográficos

Favorecimento da prostituição

Art.228 do C.P.

QUE ATIRE O PRIMEIRO MOUSE

QUEM NUNCA TIVER COMETIDO

Criar uma Comunidade para ensinar como fazer “um gato”

Apologia de crime ou criminoso

Art.287 do C.P.

Enviar email com remetente falso (caso comum de spam)

Falsa identidade

Art.307 do C.P.

NENHUM DESSES

Fazer cadastro com nome falso em uma loja virtual

Inserção de dados falsos em sistema

Art.313-A do C.P.

Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software)

Adulterar dados em sistema de informações

Art.313-B do C.P.

Se você recebeu um spam e resolve devolver com um vírus, ou com mais spam

Exercício arbitrário das próprias razões

Art.345 do C.P.

Participar do Cassino Online

Jogo de azar

Art.50 da L.C.P.

Falar em um Chat que alguém é isso ou aquilo por sua cor

Preconceito ou Discriminação RaçaCor-Etnia

Art.20 da Lei 7.716/89

Ver ou enviar fotos de crianças nuas online (cuidado com as fotos de seus filhos)

Pedofilia

Art.247 da Lei 8.069/90

Usar logomarca de empresa em um link na pagina da internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte.

Crime contra a propriedade industrial

Art.195 da Lei 9.279/96

Emprega meio fraudulento, para desviar, clientela de outrem, exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador

Crime de Concorrência Desleal

Art.195 da Lei 9.279/96

Usar copia de software sem ter a licença para tanto

Crimes Contra Software “Pirataria”

Art.12 da Lei 9.609/98

PECADINHOS DIGITAIS


“...mas todo mundo faz...” Esta é nossa maior vulnerabilidade hoje. Não exime de responsabilidade legal.


Estudo de Cenรกrios em SI


Que cuidados especiais devo tomar? Nunca divulgue sua senha! Não deixe outra pessoa usar seu computador! Evite usar o computador de outra pessoa! Não divulgue informações confidenciais! Não crie comunidades com o nome da empresa

nem para tratar de assuntos internos! Não leia mensagens de origem desconhecida! Não envie ou passe para frente boatos eletrônicos! Tenha BOM SENSO e BOA-FÉ!

ESTEJA ATENTO À SEGURANÇA DA INFORMAÇÃO NO AMBIENTE DE TRABALHO!


Manual do Motorista Virtual – passar a regra do jogo no jogo Identidade Carteira de habilitação

Senhas, logs de acesso, nome de usuário

Capacitação técnica

Mesmo com todos os itens de segurança em dia, se o usuário fizer mau uso da ferramenta (carro ou computador) surtirão conseqüências legais e punições! Auto-escola

Treinamentos

Conhecimento das normas

Código Nacional de Trânsito

Política de Segurança da Informação

Monitoramento

Radar: detecção de infrações

Firewall, IDS, controles de rede

Sinalização

Semáforos, placas, faixa de pedestres

Avisos de sistema, rodapé de e-mail

Punições para infrações

Multas, suspensão de carta, apreensão

Punições previstas na Política, advertência

Polícia e Perícia Investigação de acidentes

Jurídico e Delegacia de Crimes Eletrônicos

Ferramentas de Proteção

Cinto de segurança, air bag, alarme

Antivírus, firewall, controle de acesso, câmeras

Atualização

Troca de óleo e pneu, abastecimento

Atualização de SO, correção de falhas


JOGO DOS ERROS

EDUCAÇÃO DO USUÁRIO É ESSENCIAL


Alguns sites de forum:  http://www.istf.com.br/vb/seguranca-da-informacao/  http://forum.clubedohardware.com.br/seguranca            

informacao/f65?s=32a8887928d00209bba79a7e7dd1c944&amp; http://www.forum-seguranca.com/ http://criptografia.forumeiros.com/ http://info.abril.com.br/forum-antigo/forum.php?topico=144893 http://sbseg2009.inf.ufsm.br/sbseg2009/ http://asti.zuqueto.com/viewforum.php?f=33 http://www.forumweb.com.br/foruns/index.php?/forum/336-segurancada-informacao/ http://forum.ninjaspy.org/index.php?/forum/48-seguranca-dainformacao/ http://lucianomvp.spaces.live.com/blog/cns!D8AFA39404433738!2533. entry http://cwconnect.computerworld.com.br/groups/seguranca-dainformacao/forum/topic/4654 http://angryhacker.com.br/forum/viewforum.php?f=3 http://www.linhadefensiva.org http://tecnologia.uol.com.br/seguranca/ http://g1.globo.com/g1/tecnologia/ 262


Indice 1. Introdução 2. Histórico 3. Tipos de Seguranças 4. Objetivos da Segurança 5. Introdução a Ataques

6. Princípios Básicos na Segurança 7. Situações de Insegurança 8. Prejuízos 9. Modelo Aplicado à Segurança

10. Normas

263


10 – Normas de Segurança          

Surgimento de Normas NBR / ISO IEC 17799 Breve Histórico ISSO 17799 ISO 17799 – Segurança Organizacional ISO 17799 – Segurança de Pessoas ISO 17799 – Segurança Física e de Ambiente ISO 17799 – Controle de Acesso ISO 17799 – Controle de Acesso à Aplicações ISO 17799 – Plano de Negócios Vantagem das Normas

264


Normas de Segurança  O que é uma norma?  Pq precisamos de uma norma?  O que é uma norma de segurança?  Em que consiste uma norma de

segurança?  Quando se pretende escrever uma política de segurança, como a norma pode ajudar? 265


Surgimento de Normas  Em outubro de 1967 foi criado um

documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.  Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria”. A versão final deste documento foi impresso em dezembro de 1985. 266


Surgimento de Normas  O “Orange Book” é considerado como

marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.  O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" préestipulados.

267


Surgimento de Normas  Este esforço foi liderado pela "International

Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“ .

268


NBR/ISO IEC 17799  A ISO 17799 é um conjunto de

recomendações para gestão da Segurança da Informação;  Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança;  Leva em consideração tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO 17799. 269


Breve histórico da ISO 17799  A Associação Britânica de Normas tinha 2

normas referentes à segurança de sistemas de informação: a BS 7799-1 e a BS 7799-2.  A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799.  A BS 7799-2 se referia especialmente ao processo de certificação do aspecto de segurança em organizações e não foi submetida para o ISO. 270


Componentes do ISO 17799  1. Objetivo da norma  7. Segurança física e do ambiente  2. Termos e definições  8. Gerenciamento de  3. Política de operações e comunicações segurança  9. Controle de acesso  4. Segurança  10. Desenvolvimento de organizacional sistemas.  5. Classificação e  11. Gestão de continuidade controle dos ativos de de negócios informação  12. Conformidade  6. Segurança de

pessoas 271


OBJETIVO Esta norma fornece recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações.


PONTOS RELATADOS PELA NORMA. -

Política de Segurança de Informação. Segurança Organizacional. Classificação dos Ativos da Organização. Segurança em Pessoas. Segurança Física e do Ambiente. Gerenciamento das operações e comunicações. Controle de Acesso Desenvolvimento e Manutenção de Sistemas. Gestão da Continuidade de Nogócio. Conformidade


ISO 17799 – Segurança Organizacional  Infraestrutura de segurança: indica que

uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança.  Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços.  Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança 274


ISO 17799 – Segurança de Pessoas  Segurança na definição e Recursos de Trabalho:

Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.  Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança.  Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas.  Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.

275


ISO 17799 – Segurança Física e de Ambiente  Áreas de segurança: prevenir acesso não

autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc .  Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações .  Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

276


ISO 17799 – Controle de Acesso  Gerenciamento de acesso dos usuários: – Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade, remover usuário assim que o funcionário sair da empresa . – Gerenciamento de privilégios: Basicamente, se recomenda que usuários tenham apenas os privilégios necessários para fazer seu trabalho. – Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez. – Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.

277


ISO 17799 – Controle de Acesso  Responsabilidades dos usuários: – Senhas: segundo norma, usuário deve zelar pela sua senha e criar uma senha considerada aceitável (mínimo de 6 caracteres). – Equipamentos sem monitoração: Usuários deve tomar os cuidados necessários ao deixar um equipamento sem monitoramento, com seções abertas.

278


ISO 17799 – Controle de Acesso  Controle de Acesso ao SO: – Controle de acesso ao sistema operacional: Identificação automática de terminal: nos casos onde deve-se conhecer onde um usuário efetua logon. – Procedimentos de entrada no sistema (log-on). Sugestões como: limitar o número de tentativas erradas para o log-on e não fornecer ajuda no processo de log-on, entre outros. – Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica. – Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas. 279


ISO 17799 – Controle de Acesso às Aplicações  Controle de Acesso às aplicações: – Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. – Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica. – Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria.

280


ISO 17799 – Continuidade de Negócios  Deve-se desenvolver planos de

contingência para caso de falhas de segurança, desastres, perda de serviço, etc.  Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal. 281


ISO 17799 – Componentes do Plano de Continuidade de Negócios  condições para a ativação do plano;  procedimentos de emergência a serem tomados;  procedimentos de recuperação para transferir atividades

   

essenciais para outras localidades, equipamentos, programas, entre outros; procedimentos de recuperação quando do estabelecimento das operações; programação de manutenção que especifique quando e como o plano deverá ser testado; desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido; designação de responsabilidades.

282


ISO 17799 – Conformidade  Conformidade com Requisitos Legais:

Para evitar a violação de qualquer lei, estatuto, regulamentação ou obrigações contratuais. Evitar a violação de Direitos Autorais dos aplicativos.  Análise Crítica da Política de Segurança e da Conformidade Técnica.  Considerações referentes Auditoria 283


BS 7799-2  O BS 7799-2 é a segunda parte do

padrão de segurança inglês cuja primeira parte virou o ISO 17799.  O BS 7799-2 fala sobre certificação de segurança de organizações; isto é, define quando e como se pode dizer que uma organização segue todo ou parte do ISO 17799 (na verdade do BS 7799). 284


PESSOAL

INSTALAÇÕES

TECNOLOGIA

DADOS

SISTEMAS

COBIT – Control OBjectives for Information and related Technology

285


ORGANIZAÇÃO DA SEGURANÇA DE TI

PARCEIROS DE NEGÓCIO

FERRAMENTAS

Objetivos de Segurança

TREINAMENTO

USUÁRIOS DE TI

SISTEMA NORMATIVO

COSO

PESSOAS

Controles Detalhados

INSTALAÇÕES

ATIVIDADES DE TI

TECNOLOGIA

Controle Macros

DADOS

PROCESSOS DE TI

SISTEMAS

COBIT Objetivos de Segurança

DOMÍNIOS DE TI

NBR ISO/IEC 17799

COBIT / COSO 286


Vantagens das Normas  Conformidade com regras dos governos

para o gerenciamento de riscos  Maior proteção das informações

confidenciais da organização  Redução no risco de ataques de hackers  Recuperação de ataques mais fácil e

rápidas  Metodologia estruturada de segurança que

está alcançando reconhecimento internacional


“Se você não pode proteger o que tem, você não tem nada.” Anônimo


Fim da Ementa. Dúvidas

Reflexão: “Os computadores são incrivelmente rápidos, precisos e burros; os homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da Imaginação” – Albert Einstein 289

Seguranca de sistema  

Seguranca de sistema

Read more
Read more
Similar to
Popular now
Just for you