Baixe o app para aproveitar ainda mais
Prévia do material em texto
24/02/2017 1 1 Auditoria e Segurança da Informação e Redes Professora: Janaide Nogueira Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 2 Tipos de ameaças Ameaça Inteligente; Ameaça; Ameaça de análise; Consequência de uma ameaça; Naturais; Involuntárias; Voluntárias; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 3 Tipos de ameaças Ameaça: Potencial violação de segurança; Existe quando houver uma circunstância, potencialidade, ação ou evento que poderia romper a segurança e causar o dano; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 4 Tipos de ameaças Ameaça Inteligente: Circunstância onde um adversário tem a potencialidade técnica e operacional para detectar e explorar uma vulnerabilidade de um sistema; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 5 Tipos de ameaças Ameaça de Análise: Uma análise da probabilidade das ocorrências e das conseqüências de ações prejudiciais a um sistema; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 6 Tipos de ameaças Conseqüências de uma ameaça: Uma violação de segurança resultado da ação de uma ameaça. Inclui: divulgação, usurpação, decepção e rompimento; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 2 7 Tipos de ameaças Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 8 Tipos de ameaças Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 9 Tipos de ameaças Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10 Ameaças aos sistemas de informação Falha de hardware ou software; Ações pessoais; Invasão pelo terminal de acesso; Roubo de dados, serviços, equipamentos; Incêndio; Problemas elétricos; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 11 Ameaças aos sistemas de informação Erros de usuários; Mudanças no programa; Problemas de telecomunicação; Elas podem se originar de fatores técnicos, organizacionais e ambientais, agravados por más decisões administrativas. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 12 Ataque Ato de tentar desviar dos controles de segurança de um sistema de forma a quebrar os princípios citados anteriormente; Um ataque pode ser: - Ativo - tendo por resultado a alteração dos dados; - Passivo - tendo por resultado a liberação dos dados; - Destrutivo - visando à negação do acesso aos dados ou serviços. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 3 13 Formas de ataques em sistemas Interceptação: O acesso a informações por entidades não autorizadas (violação da privacidade e confidencialidade das informações); Interrupção: A interrupção do fluxo normal das mensagens ao destino; Modificação: Modificação de mensagens por entidades não autorizadas, violação da integridade da mensagem; Personificação: A entidade que acessa as informações ou transmite mensagem se passando por uma entidade autêntica, violação da autenticidade. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 14 Considerações O fato de um ataque estar acontecendo não significa necessariamente que ele terá sucesso; O nível de sucesso depende da vulnerabilidade do sistema ou da atividade e da eficácia de contra medidas existentes. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 15 Medidas de Defesa Para implementar mecanismos de segurança faz-se necessário classificar as formas possíveis de ataques em sistemas: Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 16 Alguns tipos de ataques DoS DDoS Personificação Ping da Morte Engenharia Social Phishing Spam Malwares Vírus Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 17 Alguns tipos de ataques Worm Bomba Lógica Backdoor Cavalo de Tróia Spyware Keylogger Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 18 Ataques Ataque de negação de serviço também é um grande risco à disponibilidade dos dados; Estes ataques são conhecidos por DoS – Denial of Service, ou Negação de Serviço. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 4 19 DoS – Como funciona? Consistem em enviar a um servidor um número de solicitações muito maior do que ele é capaz de processar, causando a “queda” do servidor da rede; Em outras palavras, o servidor fica “fora do ar” por algum tempo (às vezes um dia inteiro) fazendo com que haja indisponibilidade dos dados. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 20 Ataque DoS Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 21 Como evitar DoS ou o DDoS? Para tentar evitar problemas de indisponibilidade relacionados à negação de serviço as empresas investem na redundância de seus servidores; Redundância de Servidores: Um ou mais servidores com o mesmo Conteúdo em endereços diferentes de redes diferentes e caso um deles Fique indisponível, imediatamente as solicitações são direcionadas ao outro servidor até que o primeiro seja ativado. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 22 Qual a diferença entre DoS e DDoS? DoS(Denial of Service) - "Ataques de Negação de Serviços", consistem em tentativas de fazer com que computadores - servidores Web, por exemplo - tenham dificuldade ou mesmo sejam impedidos de executar suas tarefas; Para isso, em vez de "invadir" o computador ou mesmo infectá-lo com malwares, o autor do ataque faz com que a máquina receba tantas requisições que esta chega ao ponto de não conseguir dar conta delas; Em outras palavras, o computador fica tão sobrecarregado que nega serviço. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 23 DoS Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24 Qual a diferença entre DoS e DDoS? DDoS (Distributed Denial of Service) – É um tipo de ataque DoS de grandes dimensões, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina, distribuindo a ação entre elas; Trata-se de uma forma que aparece constantemente no noticiário, já que é o tipo de ataque mais comum na internet. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 5 25 Ataque DDoS Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 26 DDoS Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 27 Resumindo... DoS: Basicamente DoS é feito com apenas 1 computador; DDoS: DDoS é feito com vários computadores zumbis, por isso há mais chances de um servidor cair. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 28 Curiosidade... Ataques DDoS são executados há tempos e já prejudicaram empresas bastante conhecidas. Historicamente, servidores da CNN, Amazon, Yahoo, Microsoft e eBay já foram "vítimas“; Em dezembro de 2010, por exemplo, os sites da Visa, Mastercard e Paypal sofreram ataques DDoS de um grupo defendendo a não existência de "censura" na internet. Em fevereiro de 2012, ataques foram executados contra sites de bancosbrasileiros por motivos semelhantes. Fonte: http://www.infowester.com/ddos.php Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 29 Como impedir um ataque DoS Não existi nenhum meio que consiga impedir totalmente um ataque DoS; É possível detectar a presença de ataques ou de computadores (zumbis) de uma rede que estão participando de um DDoS; Como identificar? - Observar o trafego na rede; - Utilizar softwares de IDS (Intrusion Detection System Sistema de Identificação de Intrusos); - Verificar as atualizações de segurança dos sistemas operacionais e softwares utilizados pelos computadores; - Filtrar certos tipos de pacotes na rede e desativar serviços que não são usados. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 30 Tráfego na rede Observar se está havendo mais tráfego do que o normal (principalmente em casos de sites, seja ele um menos conhecido, como o InfoWester, seja ele um muito utilizado, como o Google); Se há pacotes TCP e UDP que não fazem parte da rede ou se há pacotes com tamanho acima do normal. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 6 31 Softwares de IDS IDS (Intrusion Detection System - Sistema de Identificação de Intrusos) para prevenção; Uso de antivírus, muitos vírus aproveitam de vulnerabilidades para efetuar contaminações; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 32 Atualizações de segurança Uma das melhores armas é verificar as atualizações de segurança dos sistemas operacionais e softwares utilizados pelos computadores. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 33 Filtrar pacotes Filtrar certos tipos de pacotes na rede e desativar serviços que não são usados. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 34 Prevenção Uma das melhores armas é verificar as atualizações de segurança dos sistemas operacionais e softwares utilizados pelos computadores; Muitos vírus aproveitam de vulnerabilidades para efetuar contaminações; Também é importante filtrar certos tipos de pacotes na rede e desativar serviços que não são usados. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 35 Lembrando... Já falamos sobre vários serviços da segurança das informações: integridade, disponibilidade, confidencialidade, autenticidade e autorização, mas falta dois, o não-repúdio e a auditoria, vamos a eles. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 36 Não-Repúdio É um serviço que garante que, após um usuário enviar uma mensagem, este não poderá negar a autoria da mesma; Por exemplo, se Edileusa enviar uma mensagem a Sebastião marcando um jantar e depois se arrepender, ela não terá meios de dizer que não foi ela que enviou a mensagem; O Não repúdio é um serviço que vem em favor do destinatário da mensagem; Onde são implementadas as técnicas de não-repúdio? - Em assinaturas digitais, que garantem a autenticidade, a integridade e o não repúdio da mensagem. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 7 37 Auditoria A auditoria é um serviço essencial à segurança da informação; Qual a função da auditoria? - Registrar todas as ações feitas na manipulação dos dados; Com esse registro é possível verificar posteriormente que ação foi efetuada, quem fez e quando fez; Esses registros são chamados de logs; Caso haja algum problema, como um dado apagado, copiado, modificado, lido ou inserido irregularmente, à consulta aos logs de registro podem mostrar como a ação foi tomada e às vezes até reverter um quadro crítico e/ou tomar as providências cabíveis. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 38 Criptografia A criptografia remonta à época do império romano, no governo de Júlio César. Nesta época os meios de comunicação eram muito arcaicos e a transmissão de informações entre os campos de batalha tinha que ser feita através de mensageiros que percorriam distâncias portando uma mensagem; Por muitas vezes o mensageiro era capturado no meio do caminho pelos inimigos, a mensagem era interceptada e o inimigo tinha acesso a informações sigilosas do exército de Júlio César. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 39 Criptografia Para resolver a questão, Júlio Cesar criou uma forma de codificar as mensagens, chamada de Júlio Cypher (cifra de Júlio); Ele criou um algoritmo que deslocava as letras da mensagem em três posições no alfabeto para a direita; Assim uma mensagem do tipo: “O ATAQUE SERÁ LOGO APÓS O ANOITECER” seria escrita desta forma: “R AWATXH VHUD ORJR DSRV R DQRLWHFHU”; Fica complicado entender a mensagem se a pessoa não souber que o segredo é deslocar três letras para a esquerda para voltar ao texto claro, ou seja, para decriptar a mensagem, a pessoa deve saber qual é a chave, que no caso é 3. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 40 Criptografia A chave de uma mensagem criptografada é o segredo para decriptá-la, isso quando sabemos qual algoritmo criptográfico foi usado para encriptar; Podemos usar o mesmo algoritmo Júlio Cypher para encriptar uma mensagem com outra chave, por exemplo, se mudarmos a chave de 3 para 1 o resultado da encriptação ficara diferente: “P BUBRVF TFSB MPHP BQPT P BOPJUFDFS”. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 41 Exercícios Cite os três estados da informação. 2. O que o usuário deve informar para efetuar o processo de identificação? 3. Quais os três principais objetivos da segurança das informações? 4. Por que a autenticação baseada apenas no que o usuário é, não é tão eficiente? 5. Dê 3 exemplos de senhas fracas. 6. Dê 3 exemplos de senhas seguras. 7. O que é um ataque de força bruta? Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 42 Exercícios 8. Analise as senhas que você possui. Elas são seguras? 9. Cite as técnicas de biometria que você conhece pessoalmente. 10. Relacione: ( 1 ) O que o usuário sabe. ( 2 ) O que o usuário tem. ( 3 ) O que o usuário é. ( ) reconhecimento de retina. ( ) senha. ( ) smart card. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24/02/2017 8 Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 43
Compartilhar