Baixe o app para aproveitar ainda mais
Prévia do material em texto
Rodrigo Gomes Lobo de Faria Fundamentos de Segurança da Informação Rodrigo Gomes Lobo de Faria FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Belo Horizonte Janeiro de 2016 COPYRIGHT © 2016 GRUPO ĂNIMA EDUCAÇÃO Todos os direitos reservados ao: Grupo Ănima Educação Todos os direitos reservados e protegidos pela Lei 9.610/98. Nenhuma parte deste livro, sem prévia autorização por escrito da detentora dos direitos, poderá ser reproduzida ou transmitida, sejam quais forem os meios empregados: eletrônicos, mecânicos, fotográficos, gravações ou quaisquer outros. Edição Grupo Ănima Educação Vice Presidência Arthur Sperandeo de Macedo Coordenação de Produção Gislene Garcia Nora de Oliveira Ilustração e Capa Alexandre de Souza Paz Monsserrate Leonardo Antonio Aguiar Equipe EaD Conheça o Autor Graduado em Ciência da Computação pela PUC-MG, pós-graduado em Tecnologia e Segurança de Redes pela UNA-MG, MBA em Gestão Estratégica de Projetos pela UNA-MG. Consultor e Desenvolvedor de Sistemas, Processos e Rotinas de controle de Contact Center em várias empresas do Brasil, gerenciando projetos e implantação destes sistemas. Especialista em Sistemas de Controle Imobiliário, prestando consultoria e gerenciando projetos de automatização em empresas neste setor. Professor de disciplinas na área de Tecnologia da informação. O assunto “Segurança da Informação” desperta o interesse em todas as esferas e vários cargos empresariais, sejam executivos, gerentes e técnicos. O motivo principal é que ela abrange várias áreas (física, lógica, infraestrutura, aplicativos e treinamento), sendo que cada uma possui seus respectivos riscos, ameaças, controles e soluções que podem reduzir o nível de exposição da empresa. Frequentemente, associamos a segurança da informação a hackers e a vulnerabilidades. Muitas vezes entendemos que basta um bom antivírus e um firewall eficiente e a empresa estará protegida. É obvio que são questões importantes, mas a Segurança da Informação é muito mais abrangente. Um Security Officer (Gestor de Segurança da Informação) deve avaliar e gerenciar diversos itens sejam: tecnologia, pessoas, processos e ambiente. Obviamente cada um desses pontos está ligado a muitas iniciativas, exemplo, Normas de controle de Acesso (Físico e Lógico), Criptografia, Segurança da Rede, treinamentos etc Veremos que falhas na segurança com o consequente acesso indevido podem provocar perdas financeiras e de imagem mercadológica o que se traduz em maiores perdas. Apresentação da disciplina UNIDADE 1 003 Introdução e conceitos básicos de segurança da informação 004 Segurança da Informação 006 Princípios Básicos da Segurança da Informação 009 UNIDADE 2 022 Segurança em redes de computadores, sistemas operacionais e comercio eletrônico 023 A Importância da Segurança nos Sistemas Operacionais e Redes de Computadores 025 UNIDADE 3 048 Estudo das normas ISO 27000 – Aplicação de normas, padrões internacionais e certificação 049 Objetivos e funções - ISO/IEC 27000 051 UNIDADE 4 068 Estudo das normas ISO 27005 e ISO 31000 - Aplicação de normas e padrões internacionais 069 Conceitos associados 071 Normas ISO / IEC 27005 078 ISO 31000 - Princípios da Gestão de Riscos, princípios e diretrizes 080 UNIDADE 5 093 Estudo da norma ISO 22301 - Aplicação de normas e padrões internacionais 094 A Norma ISO 22301 096 REFERÊNCIAS 175 UNIDADE 6 113 Criptografia, Certificações digitais, Assinatura digital 114 Criptografia 116 Assinaturas digitais 125 Certificação digital 126 UNIDADE 7 133 Segurança em Sistemas da Informação 134 Modelos e mecanismos de segurança dos Sistemas de Informação 144 UNIDADE 8 158 Identificação e Solução de Problema Reais 159 Teste de Invasão e Ferramentas de Segurança 161 Revisão 171 Introdução e conceitos básicos de segurança da informação • Segurança da Informação • Princípios Básicos da Segurança da Informação Introdução As Organizações têm se tornado mais rápidas e eficientes na troca de informações e tomadas de decisões estratégicas. Isto se deve, em grande parte, a evolução da Tecnologia da Informação. Porém, este novo ambiente tornou-se mais complexo, heterogêneo e distribuído, dificultando a gestão de questões relativas à segurança da informação. As ameaças aos ambientes computacionais, tanto físicos quanto lógicos, passam por uma grande evolução, tanto em quantidade de equipamentos e bytes transmitidos quanto em formato. Portanto, novos vírus e formas de ataque, internos e externos, surgem a cada dia, trazendo riscos às informações das empresas e/ou de parceiros que estas representem. Sendo assim, as estatísticas mostram que as fraudes em Informática são um problema crescente e em escala mundial, exigindo o investimento de muitos recursos financeiros das organizações. A evolução é parte inquestionável da vida e o homem é o maior resultado disto. No campo da TI (tecnologia da informação), a maior evolução é a Internet. Desde o seu aparecimento, ocorreram mudanças de paradigmas o que permitiu a expansão da conectividade e acessibilidade. Isto influenciou drasticamente como as empresas administram seus negócios. Segundo Sêmola (2003), “os computadores tomam conta dos ambientes de escritório, quebram o paradigma e acesso local à informação, e chegam a qualquer lugar do mundo através dos – cada vez mais portáteis –notebooks e da rede mundial de computadores: a Internet.” (SÊMOLA, 2003, p.3). Em função disto, a segurança da informação teve que evoluir e saiu do nível técnico, reservado à TI, onde a única preocupação era ter um bom antivírus, um firewall bem configurado. Com a evolução, houve a necessidade de se pensar também no nível da gestão, investindo e desenvolvendo os processos e as pessoas. Os aspectos relativos à implantação de uma eficiente Política de Segurança de Informação vêm evoluindo muito nos últimos anos. Os procedimentos de segurança da informação têm evoluído bastante desde o início quando a segurança se resumia à parte física e a backups. Atualmente, esta segurança é composta de políticas, padrões, treinamentos, estratégias, softwares e hardwares. Veremos aqui as mais diversas formas de ataque, desde as mais simples e visíveis, até as mais complexas e ocultas, no que diz respeito ao acesso indevido às informações. Compreenderemos que a segurança da informação engloba vários pontos onde cada um contribui de uma forma com o objetivo de manter sistemas, bancos de dados e conhecimentos (tácitos e/ou explicitas) protegidos. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 6 Segurança da Informação Com o aumento da utilização de sistemas de informação, tecnologia digital e comércio eletrônico, as empresas se viram obrigadas a pensar na segurança de suas informações para evitar golpes, acessos não autorizados e ameaças. Assim, essa medida surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. A segurança da informação é uma maneira de proteger os sistemas contra diversos ataques, preservando documentações e arquivos. Segundo Anna Carolina Aranha, a questão da segurança da informação tornou-seum tema importante na sociedade contemporânea sendo uma forte aliada de grandes empresas que armazenam e processam em computadores os segredos de seus negócios; bem como de pessoas que trocam informações eletrônicas de caráter pessoal. Todos nós acreditamos que os dados confiados às máquinas sejam mantidos confidenciais, intactos e acessíveis apenas às pessoas autorizadas. Manter os sistemas de computador livre de ataques não é só uma questão técnica. Uma regulamentação mais rígida, a educação, a conscientização e os treinamentos dos usuários tornam o mundo digital mais seguro. Curiosamente, a questão da segurança da informação é quase tão remota quanto à humanidade. Da mesma forma, também são antigas as tentativas de “desmembrar” e ler os códigos secretos contidos em mensagens. A segurança da informação é uma maneira de proteger os sistemas contra diversos ataques, preservando documentações e arquivos. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 7 Colher e ou processar informações de terceiros, sem autorização sempre constitui um crime, porém, o objetivo do invasor nem sempre é conseguir algum ganho financeiro. Várias vezes a simples curiosidade ou a vontade de quebrar regras e padrões que estimula os infratores. Entender essa peculiaridade é importante tanto para as organizações como para os cidadãos comuns que se preocupam com o assunto. Trata-se de um problema cultural/social e não somente de programação, técnico ou de infra-estrutura de redes e/ ou comunicação. Mesmo que atualmente exista um bom nível de consciência das empresas e consumidores em relação aos perigos dos vírus e dos ataques de hackers, há situações em que as ações para evitar os problemas não acontecem como deveriam. É bastante frequente ver empresas que adquirem (por compra ou locação) equipamentos e programas de última geração, porém não os configuram adequadamente, ou cometem erros simples na atualização e permissão de acesso. Os programas de computador são como equipamentos, pois precisam de revisões, manutenções e cuidados constantes. Ter um conjunto Software/Hardware de última geração e não cuidar adequadamente é o mesmo que um policial comprar uma arma e deixá-la sem munição. Segundo pesquisas, mais de 80% dos problemas de segurança seriam evitados se os programas e o hardware estivessem devidamente atualizados e configurados. Ao divulgar um arquivo de correção, com o objetivo de melhorar a segurança de determinado produto, a empresa fica exposta, pois, os hackers imediatamente tentam decodificá-lo para procurar onde esta a vulnerabilidade que foi corrigida. A partir daí, podem tentar lançar ameaças contra os computadores não atualizados. Ou seja, cada atualização é necessária para prevenir um risco em potencial. Obviamente, para um hacker atento, pode ser uma dica que lhe estimule explorar o problema. Os programas de computador são como equipamentos, pois precisam de revisões, manutenções e cuidados constantes FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 8 Especialistas em crimes cibernéticos afirmam que os delitos virtuais crescem em uma velocidade maior que os convencionais. Além de mais preparados tecnologicamente, os hackers estão sendo mais ousados: usam da Engenharia Social para conseguir efetivar os ataques. Eles se utilizam de mensagens eletrônicas (e-mails e links) com atrativos, como propostas de trabalho, falsas atualizações bancárias e até a simulação de e-mails de pessoas conhecidas. Ao acessar um desses e-mails ou links, o usuário contamina equipamentos desprotegidos ou mal protegidos. Desta forma, fica cada vez mais difícil identificar as ameaças em um ambiente informatizado. O Brasil é um dos países mais expostos aos problemas de segurança da informação. Isto ocorre, pois o crescimento na utilização da internet e suas vantagens é muito maior do que a melhoria e aplicação dos processos de segurança. Segundo relatório da Conferência de Comércio e Desenvolvimento das Nações Unidas (Unctad), o Brasil tem a segunda Internet mais vulnerável do mundo, perdendo apenas para os Estados Unidos. A solução não é algo simples e passa por fatores como: • maior regulamentação por parte do governo; • estímulo constante e crescente à empresas de tecnologia no sentido de produzirem recursos de segurança mais poderosos; • educação, conscientização e treinamento por parte dos usuários, sejam técnicos ou leigos. Desta forma, a utilização de todas as potencialidades do mundo digital será plena com menor risco a integridade, disponibilidade e confidencialidade das informações. Especialistas em crimes cibernéticos afirmam que os delitos virtuais crescem em uma velocidade maior que os convencionais. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 9 Princípios Básicos da Segurança da Informação Disponibilidade É a garantia de que os sistemas e as informações de um equipamento e/ou banco de dados estarão disponíveis quando necessário. Confidencialidade É a capacidade de controlar quem pode acessar as informações e em que condições. Assegurar que a informação só será acessível por pessoas explicitamente autorizadas, incluindo até IP de origem, datas e horários para o acesso, identificação pessoal ou biométrica. Desta forma, é possível minimizar o acesso não autorizado aumentando a segurança. Autenticidade Permite a verificação da identidade de um usuário seja interno ou agente externo a um sistema ou empresa. Este conceito também se aplica a confirmação de que uma informação é autêntica ou verdadeira. Integridade Princípio em que as informações e dados serão armazenados e posteriormente acessados em sua forma original, sem alterações realizadas por terceiros, exceto com a devida autorização. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 10 É possível também, através da análise dos logs, identificar os usuários que tiveram o contato com a informação. Mesmo manipulada, a informação deve manter todas as características originais estabelecidas pelo seu proprietário. Auditoria É a possibilidade de rastrear a informação pelos vários passos pelos quais a informação “transitou”, bem com o processamento que ela sofreu, identificando os locais, horários e usuários de cada passo. Assim é possível avaliar o histórico dos eventos em um sistema e determinar como ocorreu a falha de segurança. É possível também, através da análise dos logs, identificar os usuários que tiveram o contato com a informação. Privacidade É a limitação do acesso às informações. É a garantia à preservação. Legalidade É a garantia de legalidade de uma informação de acordo com a legislação vigente. Não Repúdio (Irretratabilidade – não pode ser desfeito) Não há como “dizer não” sobre um sistema que foi alterado ou sobre um dado recebido, ou seja, um usuário não poderá negar falsamente a autoria de uma informação. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 11 Ameaças Neste caso, a ameaça ocorre quando há uma ação sobre um sistema ou sobre um processo utilizando uma determinada vulnerabilidade e causa um problema ou consequência, tais como: divulgação indevida, roubo de identidade, prejuízo financeiro e prejuízo de visibilidade. As ameaças podem ser: • De origem natural: ligados a eventos da natureza, como terremotos, tornados ou enchentes; • Involuntárias: erro humano causado por pessoas desconhecidas ou pela falta de energia elétrica; • Voluntárias: em que hackers acessam sistemas com o intuito de disseminar de causar danos. Tipos de Ameaça• Ameaça Inteligente: Ocorre quando o invasor possui capacidade técnica e operacional para fazer uso das vulnerabilidades do sistema. • Ameaça de Análise: Ocorre após um período de análise onde são descobertas as possíveis vulnerabilidades e as respectivas consequências da ameaça a um sistema. Ataques Um ataque pode ocorrer a partir de um furto a um sistema de segurança com o objetivo intuito de invadir sistemas, bancos de dados e serviços. Ele pode ser dividido em: FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 12 • Ativo: onde os dados são alterados. • Passivo: onde os dados são liberados. • Destrutivo: onde os dados são destruídos ou o acesso a eles fica restrito. • Os ataques ocorrem somente em sistemas vulneráveis. Neste caso, a vulnerabilidade pode ser física, lógica ou engenharia social. Tipos de Ataque Cavalo de Troia: O cavalo de troia ou trojan horse é um programa malicioso e vem disfarçado em outro software. Baixar programas da Internet sem o devido cuidado é uma ótima maneira de instalar um cavalo de troia. Estes programas instalam o cavalo de troia, que abre uma porta do equipamento e que será utilizada para invasão. Eles se dedicam a roubar senhas e outros dados sigilosos. São exemplos de trojans: NetBus, Back Orifice e SubSeven. Quebra de Senha O cracker é um programa usado pelo hacker para descobrir uma senha de acesso a um sistema. O método mais comum consiste em testar sucessivamente várias sequencias de palavras até encontrar a senha correta. Denial Of Service (DOS) Este ataque consiste na sobrecarga de servidor com uma quantidade excessiva de solicitações de serviços. Há variações, como os ataques distribuídos de negação de serviço (DDoS). O cavalo de troia ou trojan horse é um programa malicioso e vem disfarçado em outro software. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 13 Neste caso, o invasor ataca muitos computadores e instala neles um software oculto, como o Tribal Flood Network ou o Trinoo. Estes programas, quando acionados, bombardeiam o servidor-alvo com solicitações e este, por sua vez, fica inoperante, em função do excesso de solicitações. Mail Bomb É a técnica de sobrecarregar um computador com e-mails. Normalmente, o agressor usa um programa para gerar um fluxo contínuo de e-mails e envia-los uma determinada caixa postal. A sobrecarga tende a provocar negação de serviço no servidor de e-mail (mail server). Phreaking É o uso não autorizado de linhas telefônicas, fixas ou celulares. Com o aumento da segurança por parte das companhias telefônicas, essas técnicas foram se tornando mais complexas e inteligentes. Hoje, o phreaking é uma atividade elaborada e que poucos hackers dominam. Scanners de Portas Eles são programas que buscam portas TCP abertas, no computador, por onde é efetuada a invasão. Uma forma de evitar que o usuário perceba a varredura é testar as portas por vários dias e em horários aleatórios. Hoje, o phreaking é uma atividade elaborada e que poucos hackers dominam. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 14 Smurf É outra forma de ataque de negação de serviço. O agressor envia uma rápida sequência de solicitações de Ping a um endereço de broadcast, usando spoofing (técnica de se fazer passar por outro equipamento). O cracker direciona as mensagens do servidor de broadcast para o endereço da vítima. Assim o alvo é “derrubado” pelo excesso de solicitações de Ping. Sniffing O sniffer é um programa ou dispositivo que analisa o tráfego da rede. Eles são muito úteis no gerenciamento de redes, porém, nas mãos de hackers permitem roubar senhas e outras informações sigilosas não criptografadas. Spoofing É a técnica de se fazer passar por outro equipamento da rede com o objetivo de acessar um sistema. Há variantes, como o spoofing de IP. O processo consiste em usar um programa que altere o cabeçalho dos pacotes IP. Desta forma, eles parecem vir de outra máquina. Scamming Esta técnica tem o objetivo de colher senhas e números de contas bancárias através de e-mails falsos oferecendo serviços, simulando a página do banco. O sniffer é um programa ou dispositivo que analisa o tráfego da rede. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 15 Controles de Segurança Autenticar e Autorizar Autorizar é permitir ou negar acesso a um sistema utilizando controles de acesso com o objetivo de criar perfis. Com esses perfis, é possível definir, por exemplo, as tarefas que serão realizadas por determinado usuário ou grupo de usuários. Autenticar é a comprovação do acesso de um usuário a um sistema, ou seja, se está sendo feito por ele mesmo Ela é importante, pois, limita o controle de acesso e autoriza somente determinadas pessoas acessarem uma informação. Processo de Autenticação Identificação positiva: Está relacionado a uma informação. Ocorre quando o usuário possui uma senha de acesso. Identificação proprietária: O usuário possui algum instrumento durante a etapa de identificação, como um cartão ou um eToken. Identificação Biométrica: Neste caso, o usuário se identifica através de uma parte do corpo, como impressão digital, Iris etc. Em relação às senhas, uma dica importante é que você sempre crie senhas que possuam pelo menos oito caracteres, com letras, números e símbolos. Não utilize seu nome, sobrenome, nomes de animais de estimação, placas de carros, números de telefones ou datas que possam tenham relação com você. Procure alterá-las com frequência e faça com que sejam diferentes para cada serviço. Se você compartilha seu computador com outras pessoas, crie usuários com privilégios normais. Se você compartilha seu computador com outras pessoas, crie usuários com privilégios normais. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 16 Não utilize, no caso de arquivos comprimidos, o formato executável. Vírus Prevenção: • Instale e atualize, de preferência diariamente, um programa de antivírus confiável, assim como as assinaturas deles. • Configure o antivírus para verificar os arquivos obtidos pela Internet, discos rígidos (HDs) e unidades removíveis, como CDs, DVDs e pen drives; • Desabilite o “auto-execução” de arquivos anexados às mensagens do seu programa de leitura de e-mails; • Não execute ou abra arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessário abrir o arquivo, certifique-se que ele foi analisado pelo programa antivírus; • Utilize, na elaboração de documentos, formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript; • Não utilize, no caso de arquivos comprimidos, o formato executável. Utilize o próprio formato compactado, como, por exemplo, Zip ou Gzip. Worms, Bots e Botnets Prevenção: • Siga todas as recomendações para prevenção contra vírus; • Mantenha o sistema operacional e demais softwares sempre atualizados; • Aplique todas as correções de segurança (patches) disponibilizadas pelos fabricantes para corrigir eventuais vulnerabilidades existentes nos Softwares utilizados; FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 17 • Instale um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que um worm ou bot se propague. Incidente de Segurança e Uso Abusivo na Rede O incidente de segurança está relacionado a problemas ligados aos sistemas de computação ou às redes de computadores. Pode ser identificado por acessos não autorizados, mudanças no sistema sem préviaautorização ou sem conhecimento da execução, tentativas de acesso aos dados de um sistema etc. O uso abusivo na rede está ligado a características específicas como envio de spams e correntes, distribuição de documentação protegida por direito autoral, uso indevido da internet para ameaçar e difamar pessoas, ataques a outros computadores etc. Registros de Eventos (logs) Os logs são registros de tarefas realizados por programas de computador. Normalmente os firewalls identificam estes logs. Os logs podem ser detectados no momento em que um invasor tenta acessar um computador e é impedido pelo firewall. A Verificação periódica dos logs do firewall e dos IDSs que estejam instalados no computador é de extrema importância, pois pode evitar ou minimizar as tentativas de ataques. O incidente de segurança está relacionado a problemas ligados aos sistemas de computação ou às redes de computadores. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 18 Notificações de Incidentes Consiste em informar, por meio automatizado ou manual, o ataque a um sistema sejam por um programa ou invasor mal intencionado. A informação deve conter logs completos com data, horário, fuso horário, endereço IP de origem, portas envolvidas, protocolo utilizado e qualquer outra informação que tenha feito parte da identificação do incidente. Proposição: Você foi convidado a elaborar um laudo e propor uma solução de melhoria para uma empresa na seguinte situação: • Possui 8 trabalhadores sendo 2 diretores, 1 gerente e 5 operadores de telemarketing. • Possui 1 PC desktop com configuração para servidor de arquivos, 5 PC desktop, 3 notebooks e 1 impressora com conexão wi-fi. • Possui 1 roteador e todos os equipamentos se conectam à rede, via wi-fi. Além deste cenário, você recebeu as fotos abaixo do ambiente de trabalho. FIGURA 1 - CPD Fonte: www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 19 FIGURA 2 - Ponto de Atendimento e sala das PAs FIGURA 3 - Roteador e conexões Fonte: www.shutterstock.com Fonte: www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 20 Revisão A segurança da informação é uma ferramenta fundamental para todas as organizações. Isto porque a informação bem elaborada e bem estruturada e o conhecimento disseminado em todos os setores representa o maior patrimônio que uma empresa possui. Por isto, é de extrema importância que esta informação seja muito bem protegida, levando em conta todos os itens que a compõe. Sem a preservação desses fatores, não podemos afirmar que há esta garantia. FIGURA 4 Segurança da Informação co nfi de nc ia lid ad e In te gr id ad e A ut en tic id ad e D is po ni bi lid ad e N ão re pú di o Negligenciar qualquer um destes pilares é não levar em conta o grau de importância dos dados e do conhecimento. Isto gera o risco de perdas financeiras, além de lesar a imagem no mercado. Você se sentiria confortável em utilizar os serviços de um banco que sempre é alvo de hackers? E este banco, por sua vez, o que faz com os prejuízos acumulados com os ataques? FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 21 Por isto devemos ter em mente que investimentos em segurança da informação são sempre bem vindos, pois minimizam os riscos das perdas nos mais diversos pontos. Abaixo estão links e livros que podem ser consultados a respeito do tema: • DOCUMENTÁRIO Hackers Completo Dublado. Postado por: Lucas –Ezystep. (49 min 04 seg.): son. Color. Port. Disponível em: <https://www.youtube.com/watch?v=g1FmSAqNg6U> Acesso em: 15 jan. 2016. • ENTREVISTA sobre segurança de redes sem fio wi-fi - www. defhack.com.brDisponível. Postado por: Marcos Flávio Araújo Assunção. (11 min 57 seg.): son. Color. Port. Disponível em: <https://www.youtube.com/watch?v=bwtRBczONI4> Acesso em: 15 jan. 2016. • PIONTI, Rodrigo. Política de segurança da informação – conceitos, características e benefícios. Portal Profissionais TI (on- line). Disponível em: <http://www.profissionaisti.com.br/2013/08/ politica-de-seguranca-da-informacao-conceitos-caracteristicas-e- beneficios/> Acesso em: 15 jan. 2016. • REVISTA ESPAÇO ACADÊMICO. nº42, 2004. Disponível em: <http://www.espacoacademico.com.br/042/42amsf.htm> Acesso em: 15 jan. 2016. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 1 22 Segurança em redes de computadores, sistemas operacionais e comércio eletrônico • A Importância da Segurança nos Sistemas Operacionais e Redes de Computadores Introdução Sistemas operacionais são softwares ou programas (ou um conjunto deles) que permitem ou proporcionam a comunicação do hardware com o “mundo exterior” além de gerenciar os recursos deste equipamento. Existem vários tipos de SO, cada um adequado ao tipo de equipamento que irá gerenciar. Podem ser mono ou multiusuário, mono ou multitarefa, funcionar em rede ou com acesso local. Sendo assim, temos algumas questões a avaliar: 1. Um Sistema Operacional pode ser contaminado ou atacado? 2. Se sim, o que fazer para prevenir um ataque? 3. Se um ataque ocorrer, como resolver? 4. Há alguma forma eficiente de proteger uma rede de equipamentos dos ataques? 5. Por que o termo “equipamentos” e não simplesmente “computadores”? Muitas vezes este tema não é tratado com a devida importância. Isto porque vários profissionais, por associarem este assunto a situações simples do cotidiano, se esquecem que os temas fazem parte de um conjunto de estruturas complexas que servem às organizações e seus usuários, sejam eles internos (funcionários) ou externos (parceiros de negócios). Por isto é importante a devida atenção e compreensão dos conceitos e da forma como se relacionam. Veremos a seguir os principais conceitos e estabelecer uma relação entre eles, de modo que seja possível identificar fragilidades e tratá-las com a devida atitude e precisão. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 25 A Importância da Segurança nos Sistemas Operacionais e Redes de Computadores De modo a compreender melhor este assunto, é importante introduzir alguns conceitos e o relacionamento entre eles. Vejamos então: Kernel: É uma palavra da língua inglesa e significa "núcleo". Na Informática, o kernel é a parte principal do sistema operacional e sua função é interligar (fazer a mediação) do software ao hardware, estabelecendo uma comunicação adequada entre os recursos de hardware. A arquitetura do kernel pode ser dos tipos monolítico, híbrido ou micronúcleo. No Monolítico, os controladores de dispositivos e as extensões de núcleo são executadas no espaço de núcleo, com acesso completo ao hardware. No Híbrido é um micronúcleo que possui um código na região do núcleo para que as operações sejam executadas mais rapidamente. Já no Micronúcleo alguns processos são executados no núcleo e os demais são no espaço do usuário. Sistema Operacional: É um programa que controla o computador independente do seu porte ou plataforma. O Sistema Operacional é responsável por alocar os recursos do hardware e organizar tarefas. Ele também proporciona uma interface para que o usuário tenha acesso aos recursos do computador de uma forma “amigável”. Eles podem ser projetados para funções específicas como controle de máquinas e sistemas distribuídos, dispositivos portáteis, redes. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 26 O SO estabelece os critérios de uso e a ordem de acesso dos recursos, não permitindo a violação de espaço de memória de processosconcorrentes e tentativas de acesso simultâneo a um mesmo recurso (time sharing), gerenciando a proteção dos dispositivos. A figura abaixo mostra como o SO está posicionado. FIGURA 1 Fonte: www.shutterstock.com Ele se divide em diversos tipos e os principais são: Sistemas Monotarefas: Capazes de executar apenas uma tarefa de cada vez. Sistemas Multitarefas: Permite a realização de diversas tarefas “simultaneamente” em um processador. O que ocorre, na verdade é que ele divide o uso do processador entre as necessidades do sistema, de modo a permitir que todas as tarefas sejam executadas, compartilhando o tempo entre as tarefas (time sharing). FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 27 Sistemas Multiprocessadores: Conjunto formados pela gerência da combinação de 2 ou mais processadores, melhor adequando a distribuição dos processos à disponibilidade do sistema. Sistemas embarcados: São direcionados para equipamentos de pequeno porte e aparelhos autônomos (computadores de bordo, centrais multimídia e sondas espaciais). Normalmente de trabalham com recursos limitados. Sistema em tempo Real: Normalmente utilizados na indústria, com rapidez e exatidão em relação ao tempo de resposta e processamento de tarefas. Esses sistemas não podem falhar, já que muitos recursos prioritários dependem de seu funcionamento. Conforme vimos, o Sistema Operacional é um software e por isto é passível de invasão ou ataque. Algumas dessas formas são: Bots: Se assemelha a um robô, e pode ser programado para desempenhar tarefas específicas no computador contaminado. O invasor se utiliza de um servidor IRC. Já que ele possui controle sobre o bot que determina rotinas perigosas para o equipamento contaminado. Dentre os objetivos do Bot podemos citar: Captar dados bancários e fazer com que o computador dissemine spam e phishing. Backdoor: é um recurso usado por vários malwares com o objetivo de acessar remotamente o sistema ou uma rede infectada, explorando falhas em programas instalados, firewall e softwares desatualizados, abrindo portas do roteador. Alguns backdoors são explorados por sites maliciosos, pelas vulnerabilidades dos navegadores, garantindo que um cracker tenha acesso ao sistema, instalando outros malwares ou roubando dados. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 28 Compromised-Key Attack: São ataques realizados em chaves específicas de registro do SO. Quando o cracker tem acesso a estas chaves, ele pode gerar logs com a decodificação de senhas criptografadas e invadir serviços cadastrados e contas de usuários. Rootkit.: É um software muitas vezes malicioso e que tem por objetivo esconder ou disfarçar alguns programas ou processos de métodos usuais de detecção, permitindo acesso exclusivo a um computador e suas informações. Existem programas que detectam a presença de rootkits. Alguns destes programas podem ser instalados gratuitamente de sites da internet. Porém, como todo problema, a melhor solução é a prevenção. As ameaças citadas acima podem (e devem) ser evitadas com medidas simples, a saber: • Possuir no computador programas de segurança (antivírus, anti-spyware, anti-rootkit etc); • Manter os programas (aplicativos, utilitários e o sistema operacional) atualizados; • Evitar arquivos de redes ponto a ponto; • Evitar o download de cracks; • Instalar, habilitar e configurar um firewall pessoal; • Executar o sistema com privilégios limitados. Por isto, a proteção do Sistema Operacional é tão importante quanto à proteção de outros softwares. Devemos ter todo o cuidado na prevenção de remoção destas e de outras ameaças. Redes de Equipamentos: é um conjunto de dois ou mais equipamentos que utilizam um protocolo (conjunto de regras) em comum para compartilhar recursos. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 29 Utilizam-se de conexão, podendo ser: por cabo (fibra ótica, coaxial, ethernet ) ou wi-fi (ondas de rádio). Qualquer tipo de dispositivo que possa enviar ou receber dados pode compor uma rede. Sendo assim, quando falamos em componentes de rede, dizemos que são nós, e não somente computadores. São exemplos de Redes: Internet (WAN), Rede Local (LAN), Intranet, Rede Metropolitana (MAN) etc. As redes locais possuem várias topologias, sendo que cada uma possui particularidades, vantagens e desvantagens. Abaixo citamos as principais. Topologias de redes Ponto a Ponto: Ela é a mais simples. Une dois computadores através de um meio de transmissão qualquer. Dela, pode-se formar novas topologias, incluindo novos nós em sua estrutura. FIGURA 2 - Ponto a ponto Fonte: Adaptado do www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 30 Barramento Ela é de fácil expansão. Nela, todos os nós estão conectados a uma barra que é compartilhada entre todos os processadores, podendo o controle ser centralizado ou distribuído. O meio de transmissão é o cabo coaxial. FIGURA 3 - Barramento Fonte: Adaptado do www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 31 Anel ou Ring Ela utiliza ligações ponto-a-ponto e transmitem em um único sentido. O sinal circula no anel até o destino. Ela é pouco tolerável à falha e a expansão pelo aumento do tempo entre o início e chegada do sinal ao nó destino. FIGURA 4 – Anel ou Ring Fonte: Adaptado do www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 32 Estrela Ela utiliza o switch para conectar e gerenciar a comunicação. Ele é um dos fatores determinantes na velocidade de transmissão, como também converte sinais transmitidos por protocolos diferentes. FIGURA 5 – Estrela Fonte: Adaptado do www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 33 Árvore Ela é basicamente uma série de barras interconectadas. Equivale a várias redes estrelas interligadas por meio de seus nós centrais. Esta topologia é muito utilizada na ligação de switch e repetidores. FIGURA 6 – Árvore Fonte: Adaptado do www.shutterstock.com FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 34 Híbrida Ela é bem complexa, pois pode mesclar uma mistura de topologias, tais como as de anel, estrela, barra, entre outras, que possuem como características as ligações ponto a ponto e multiponto. FIGURA 7 – Híbrida Fonte: Adaptado do www.shutterstock.com Conforme já foi dito, existem vários tipos de dispositivos em uma rede. São exemplos: terminais de computadores, impressoras, computadores, roteadores, pontes, repetidores, celulares, switch, HUB etc Cada um dos tipos de redes e dispositivos citados possui vulnerabilidades que podem ser exploradas por um hacker ou um usuário mal intencionado. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 35 Alguns tipos de ataques são: Defacement: Também conhecido como “Deface”. É um tipo de ataque onde o invasor modifica o conteúdo e a aparência de uma página ou site da internet ou intranet. Normalmente, são realizados por hackers iniciantes ou usuários com pouco conhecimento técnico. As formas mais usadas na realização de um defacement são: • Explorar vulnerabilidades do servidor Web que hospeda o site; • Explorar vulnerabilidades de pacotes/linguagem de desenvolvimento do site; • Explorar erros da aplicação Web; • Capturar login e senha de acesso do servidor Web e gerenciá-lo de forma remota. DoS: É um ataque de negação de serviço ou em inglês Denial of Service. Os principais alvos são servidores web e o objetivo é fazer com que os recursos do sistema fiquem indisponíveis para os usuários. Na realidade,não é uma invasão do sistema, mas sim dá uma indisponibilidade por sobrecarga. Os ataques DoS são feitos normalmente de duas maneiras, a saber: • fazer com que o Servidor reinicialize ou então utilizar ao extremo todos os recursos de processamento e memória. Sendo assim ele não consegue mais oferecer o serviço; • fazer com que o meio de comunicação entre o Servidor e os usuários fique instável ou indisponível. Assim o serviço será negado. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 36 DdoS: É um ataque distribuído de negação de serviço ou em inglês Distributed Denial of Service. Neste tipo de ataque, um computador Master comanda, por meio de um programa malicioso, muitos computadores chamados de Zombies. Desta forma, o ataque é distribuído entre várias máquinas escravizadas. São exemplos de vírus utilizados para estes tipos de ataque: "Slammer", "Codered", "MyDoom". Scanners de Rede: São programas de varredura usados na detecção de vulnerabilidades em sistemas. São 2 os principais objetivos em procurar falhas de segurança que são: fortalecer os sistemas procurando e sanando Engenharia Social: Este é o tipo, tecnicamente mais simples, pois qualquer pessoa com o mínimo de noção de configuração técnica pode executar e, em contrapartida, é muito eficaz, pois atinge o elo mais fraco da segurança que são as pessoas. Consiste em explorar a ingenuidade das pessoas para se obter os acessos, senhas e dados sigilosos. A engenharia social não é uma técnica exclusiva da tecnologia, pois envolve apenas pessoas. Desta forma, o treinamento adequado faz a diferença na prevenção a este tipo de técnica. Spoofing: É a técnica de se fazer passar por outra pessoa ou outro equipamento da rede, com o objetivo de acessar um sistema. Há variantes, como o spoofing de IP. O processo consiste em usar um programa que altere o cabeçalho dos pacotes IP. Desta forma, eles parecem estar vindo de outra máquina. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 37 Esta técnica também pode alterar o remetente da mensagem para que a vítima abra os e-mails infectados por softwares maliciosos. Isso acontece já que o e-mail infectado chega como se fosse enviado por alguém conhecido. Uma forma eficiente de evitar a infecção é não abrir e-mails suspeitos e em caso de dúvidas, passe o ponteiro do mouse (sem clicar) sobre links que estejam no corpo do e-mail. Desta forma, é possível visualizar o verdadeiro destino deste link. Botnets:. Como o próprio nome já deixa claro, as botnets são basicamente redes de computadores infectados por bots semelhantes. Para quem propaga esse tipo de ameaça, ter centenas de computadores ligados com bots sob o seu comando é a maneira mais eficaz de espalhar os perigos propostos pelo aplicativo na tentativa de fraudar e enganar os usuários. Vandalismo Virtual: Com o objetivo de facilitar o entendimento, é necessário, primeiramente, definir Vandalismo. Esta palavra significa hostilidade com as propriedades de terceiros. Normalmente, se manifesta publicamente com ataques a estas propriedades. O vandalismo virtual ocorre quando um troll (como é chamado um vândalo deste tipo) modifica páginas de Internet. Segurança em comércio eletrônico O comércio eletrônico tem se mostrado extremamente inovador e eficiente e já é visto como uma realidade consolidada, além de apresentar um grande potencial nos processos de negócio nos muitos setores da economia. Este crescimento, reforçado pelo aumento da velocidade e eficiência da Internet, tem chamado a atenção dos profissionais de TI para os aspectos de segurança e privacidade que são determinantes para a utilização deste tipo de comércio. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 38 Veremos aqui uma breve história do comércio eletrônico, bem como a evolução dos métodos de segurança. Comércio: É o processo de comprar, vender e trocar produtos e serviços e existe desde os primórdios da civilização. O Comércio Eletrônico surgiu com a evolução da Internet e tem por objetivo o complemento das vendas, além de eliminar intermediários. Também são características deste tipo de comércio o aumento e melhoria da parceria de negócios e a diminuição de limites geográficos. Surpreendentemente, o comércio eletrônico não é só pela internet. Também ocorre por meio de aparelhos celulares e outros equipamentos eletrônicos. Ele é muito mais abrangente e envolve diversos tipos de negócios. É a automação das transações comerciais utilizando tecnologias de telecomunicações e informática. Sendo que a parte mais exposta deste tipo de comércio são as lojas virtuais. O Brasil cresceu 23% no último ano. Dentre as categorias com destaque estão viagens, setor automobilístico, varejo e classificados. Tipos de comércio eletrônico O comércio eletrônico é formado por diversas modalidades. Em qualquer destes tipos, o processo será on-line, ou seja, o cliente visualiza e escolhe o produto, coloca no “carrinho de compras” e efetua o pagamento no caixa. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 39 Os Tipos são: • Empresa <-> Consumidor (Business to Consumer - B2C); • Consumidor <–> Consumidor (Consumer to Consumer – C2C); • Empresa <-> Empresa (Business to Business – B2B); • Consumidor <–> Empresa (Consumer to Business – C2B); • Consumidor <–> Administração (Consumer to Administration–C2A ou Consumer to Government – C2G); • Empresa <–> Administração (Business to Administration – B2A ou Business to Government –B2G); • Ponto <-> Ponto (Peer to Peer - P2P); • M-Commerce (Mobile Commerce); • S-Commerce (Social Commerce); • Compra coletiva; • T-Commerce (Television Commerce); • F-Commerce - Facebook Commerce. A segurança no comércio eletrônico: O passo inicial para tratarmos de segurança no comércio eletrônico é identificar quais os principais tipos de ameaças que podem existir. Conforme já mencionamos, elas podem ser: acesso não autorizado (unauthorized access), Alteração de dados (data alteration), exposição de dados confidencias, monitorização (Monitoring), negação de serviço (Service Denial), perda ou destruição de dados, repúdio (Repudiation), spoofing e vulnerabilidade ou erros no software. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 40 Estas ameaças podem ser mitigadas ou reduzidas, adotando algumas medidas que podem ser: diminuir as informações necessárias no servidor web e limitar o público alvo e os meios de acesso às informações, adotando padrões de segurança como, por exemplo, a autenticação e SSL (Secure Sockets Layer). A atualização dos sites deve ser constante assim como as atualizações de software de hospedagem de modo a manter a integridade dos dados do usuário. Segundo Rafael Alves Florindo, A política de segurança é o ato de atribuir direitos e responsabilidades aos usuários de uma empresa e com as informações por eles tratadas. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham, devendo prever o que pode ou não ser feito na rede da empresa e o que será considerado inaceitável. A política de segurança da informação é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos que tem por objetivo de dar a noção e orientar os funcionários, clientes, parceiros e fornecedores para o uso seguro do ambiente informatizado, com informações sobre como gerenciar, distribuir e proteger seus principais ativos. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. (FLORINDO, 2014, portal on-line) Com base no que foiexposto, entendemos que política de segurança da informação é um conjunto de ações que envolvem processos, tecnologia e pessoas, além do relacionamento entre estes três pilares. Entre estes pilares, o que deve merecer maior atenção é o que se refere a pessoas, pois este depende de vários fatores subjetivos de difícil controle. Pessoas adoecem, têm sentimentos e dificuldades em lidar com eles, de relacionamentos e na maioria das vezes permite a interferência de fatores pessoais no ambiente profissional. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 41 Os principais mecanismos de segurança no comércio eletrônico são: Firewall, IDS (Intrusion Detect System), Criptografia, Protocolos Regras de autenticação, Certificados digitais, Assinaturas digitais, Selos digitais, SSL. A certificação digital é a tecnologia que provê mecanismos e segurança que garantem autenticidade, confidencialidade e integridade das informações eletrônicas. Os certificados digitais possuem informações como: dados do dono (nome, identificação, UF); nome da autoridade certificadora emissora do certificado; número de série do certificado; o período de validade do certificado; assinatura digital da autoridade certificadora. Fraudes em Comércio Eletrônico: Os invasores vêm concentrando na engenharia social, com o objetivo de fraudar o comércio eletrônico e internet banking já que é bem mais difícil invadir por quebra de senha e criptografia. Segundo: o órgão CERT.BR (2014), a quantidade de ataques vem crescendo muito, ano a ano, conforme o gráfico abaixo. FIGURA 8 – Total de Incidentes Reportados ao CERT.br por ano Fonte: www.cert.br FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 42 FIGURA 9 – Incidentes Reportados ao CERT.br – Janeiro a Dezembro de 2014 Fonte: www.cert.br A Internet, pela sua agilidade e abrangência, supera a mídia tradicional, reduzindo tempo de venda e facilitando acesso a informações adicionais. Com ela, as vendas cresceram, se utilizando de ferramentas para vender e comprar. O Brasil ocupa um dos primeiro lugares no ranking em ataques sofridos, ocorrendo mais de 30.000 milhões de reportados, sendo de Womrs e a servidores Web. O gráfico abaixo, do mesmo órgão, mostra os tipos de ataques durante os meses do ano de 2014. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 43 A questão da segurança é uma das principais preocupações no desenvolvimento dos sistemas de pagamento virtual, que precisam assegurá-la sem comprometer a privacidade, pois os hackers estão constantemente tentando quebrar este tipo de segurança. Por isto, devemos ter todo o cuidado lembrando é claro da engenharia social, pois, esta afeta o elo mais fraco da corrente que são as pessoas. Em função da grande variedade de tipos de ataques, é de fundamental importância que sejam aplicados métodos de prevenção e solução de problemas de segurança. Estes métodos vão desde treinamentos adequados, evitando ou minimizando a engenharia social, até a instalação de softwares de proteção, como firewall e antivírus. A informática em si, assim como os sistemas de informação, como ferramentas de gestão estratégica nas organizações, são de extrema importância, pois permitem que estas se tornem cada vez mais eficientes em um mercado extremamente competitivo. Fazer com que a TI e seus sistemas estejam alinhados às estratégias de crescimento da empresa é um desafio. É fundamental salientar que a segurança é uma aliada fundamental e que, sem ela, todo esforço da equipe e da empresa pode ser perdido. A situação ideal é que ela já seja prevista durante o projeto do software, da área (ou departamento), porém na realidade atual do Brasil, nem sempre isto é possível. Muitas vezes, é necessário atuar quando a rotina já está em execução ou o departamento já está atuando. Trataremos aqui de um tutorial simples para manter a segurança tanto nos Sistemas Operacionais quanto na rede empresarial. É importante observar que alguns tópicos são comuns na prevenção. Isto significa que devem se adequar à modalidade, ao nível e ao objeto da proteção. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 44 Passo 1: Identificar a área que será tratada conhecendo todos os relacionamentos dela com as demais na organização. Passo 2: Identificar, conhecer e cadastrar todos os colaboradores (internos e externos) que atuam no departamento bem como o nível de acesso e o conhecimento que eles possuem dos sistemas. Passo 3: Com as informações dos colaboradores (passo anterior), identificar aqueles que “tentam” acessar os Sistemas de forma diferente ou inadequada. É possível saber, através da observação do trabalho e dos logs de acesso. Verificar se alguma destas tentativas foi bem sucedida e em que data e hora. Passo 4: Saber e relacionar quais são as queixas dos usuários em relação ao acesso aos sistemas (lentidão, queda de conexão, perda de informação, instabilidades etc) Passo 5: Para cada um dos problemas identificados nos passos 3 e 4, investigar a veracidade e o motivo do problema. Criar um relatório completo. Passo 6: Com base neste relatório, traçar as estratégias de proteção, corrigindo as falhas que permitiram o erro e/ou a invasão. Poderão surgir problemas como picos ou falhas de energia, roteador wi-fi com acesso insuficiente, canal indevido no roteador, senhas fáceis, falhas de configuração do firewall, colaboradores com níveis altos de acesso e baixa confiabilidade, interferência de frequências, portas abertas desnecessariamente no Servidor, controle de acesso físico aos locais críticos (rack de switch, sala do servidor), etc. Observação: Todos os passos e pontos devem ser documentados, de forma clara e objetiva. Assim, o conhecimento sobre o objetivo proposto é construído e será utilizado na manutenção e melhoria continua (PDCA). FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 45 Proposição: Você foi convidado para avaliar as condições de segurança da informação em uma empresa de vendas de suprimentos de informática. Com base no que vimos nesta unidade, você deverá comparar o cenário atual da organização com as boas práticas aqui propostas. Após esta comparação, você deverá propor as soluções de melhoria e documentar estas soluções, sugerindo avaliações periódicas para manter tudo conforme sua proposta: • Possui 15 trabalhadores sendo 2 diretores, 1 gerente de vendas, 1 gerente administrativo, 5 vendedores de balcão, 5 vendedores para atendimento virtual (comércio eletrônico – website, SMS, whatsapp) e 1 serviços gerais; • Possui 1 PC desktop com configuração para servidor de arquivos, 10 PC desktop, 4 notebooks, 1 impressora com conexão wi- fi e 1 impressora multifuncional sem conexão à rede (ligada ao servidor); • Possui 1 roteador e todos os equipamentos se conectam à rede, via wi-fi. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 46 Revisão A produção, o armazenamento e a utilização da informação passam por várias etapas e controles. A segurança da informação deve ser um ponto de fundamental importância em cada um dos controles que são elos desta corrente. Vimos que a porção tecnológica é a base inicial para que a informação e o conhecimento sejam produzidos. Esta porção foi representada aqui pelos Sistemas Operacionais e pela Infraestrutura de Redes. Observamos que existem várias formas, técnicas e personagens dedicados ao ataque, à invasão, à negação de serviços e ao roubo de informações. A tríade “Processos, Pessoas e Tecnologia” deve sempre ser monitorada de modo que nada escape ao controle, já que isto poderia causa perdas incalculáveis,tanto financeiras quanto para a imagem da organização. Devemos lembrar que a parte mais frágil desta tríade refere-se às pessoas, pois, possuem aspectos subjetivos que dificultam o controle. Neste caso, treinamentos e monitoramentos constantes fazem a diferença. A engenharia social é uma das formas poderosas de ameaça, pois envolve e engana pessoas com o objetivo de obter informações sigilosas (logins, senhas, relatórios, manuais, acessos etc). Por isto, é um ponto estratégico a ser fortemente avaliado. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 2 47 O comércio eletrônico (e-business), por sua vez, tem se mostrado, de forma crescente, uma ferramenta poderosa na comercialização de produtos e serviços. Este tipo de comércio utiliza a internet como meio principal de chegar aos clientes. Sendo a internet uma rede, ela também pode ser utilizada como meio de ataques e invasões. Por isto, procedimentos de segurança têm que fazer parte da rotina na sua utilização. Por fim, observamos que as medidas de segurança são bastante comuns em todos os pontos e etapas na produção do conhecimento, desde a coleta dos dados, passando pela geração da informação, chegando ao conhecimento propriamente dito. Abaixo, estão links e livros que podem ser consultados a respeito do tema. CIPOLI, Pedro. O que é Engenharia Social? Portal Canaltech (on-line). Disponível em: http://corporate.canaltech.com.br/o-que-e/seguranca/O- que-e-Engenharia-Social/. Acesso em: 15 jan.2016. ENGENHARIA Social (Segurança da Informação). Postado por: Jefferson Costa. (17 min 53 seg.): son. Color. Port. Disponível em: <https://www. youtube.com/watch?v=cK1k0NABPhs > Acesso em: 15 jan. 2016 SACCO, Luiz Antônio. Dicas de segurança no comércio eletrônico. Portal e-commerce Brasil (on-line). Disponível em: https://www.ecommercebrasil. com.br/artigos/dicas-de-seguranca-comercio-eletronico/. Acesso em: 15 jan. 2016. Estudo das normas ISO 27000 – Aplicação de normas, padrões internacionais e certificação • Objetivos e funções - ISO/IEC 27000 Introdução Muitas vezes não tratamos as normas com a devida importância por entendermos ser algo dispensável. Ledo engano! As normas são criadas com base em acordos, cooperações, estudos e avaliações por um órgão com conhecimento e competência para tal. Elas sugerem um conjunto de boas práticas para execução e/ou produção em um determinado tema. O objetivo é fazer que aquilo que será produzido cumpra um padrão de qualidade e funcionamento. Este produto pode ser um software, eletrodoméstico, edifício, veículo, seminário, palestra etc. Diante desse fato, é importante ter a devida atenção e compreensão dos conceitos que serão mostrados e a forma como se relacionam, de modo que sejam aplicados da melhor forma. As normas da série ISO/IEC 27000 tratam do SGSI (Sistema de Gestão de Segurança da Informação). A segurança da informação não está exclusivamente associada ao conceito tecnológico, apesar de muitas pessoas acreditarem que seja desta forma. O SGSI é um modo de segurança para todos os tipos de dados e informações. Obviamente, está intimamente associado aos pilares da segurança da informação que são: confidencialidade, integridade, disponibilidade e autenticidade, já vistos anteriormente. A ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission compõem um sistema especializado de normatização mundial. Os organismos membros da ISO ou da IEC auxiliam no desenvolvimento de normas internacionais utilizando comitês técnicos definidos pela organização para tratar de assuntos técnicos. Estes comitês colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais e ligadas a ISO e a IEC também podem atuar. Na área de TI, a ISO e a IEC criaram um comitê associando ISO/ IEC / JTC1. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 51 Objetivos e funções - ISO/IEC 27000 A norma ISO/IEC 27000, na realidade, é um conjunto de normas com várias séries, e cada uma delas tem uma função (ou objetivo) específica, porém todas elas tratam da criação, manutenção, melhoria, revisão, funcionamento e análise de um SGSI. As normas desta série estão relacionadas à segurança da informação. Este conceito está além dos pontos puramente ligados à informática. Ainda assim, estão lado a lado. O SGSI representa formas para a segurança para todos os tipos de dados, informações e do conhecimento produzido (ativos de TI). As diretrizes abrangem desde os primeiros passos na implementação de um SGSI, até áreas específicas, tais como orientações para empresas parceiras na certificação ou auditoria que também queiram implementar um SGSI. Critérios para certificação As normas 27001 e 27002 devem ser usadas em conjunto. Elas são as mais conhecidas da família ISO 27000 sendo que o certificado da ISO 27002 é para profissionais da área. Seus códigos e orientações facilitam a obtenção do certificado ISO 27001, que é direcionado para empresas. Cada norma tem critérios diferentes para a certificação. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 52 Semelhante às normas ISO 9000 e ISO 14000, a norma 27001 segue o padrão para a certificação de outros sistemas de gestão da ISO. Além da questão específica do sistema de gestão de segurança da informação, é necessário atenção ao funcionamento, monitoramento e melhoria do sistema. A certificação é realizada em duas partes: sendo que a primeira é uma revisão documental, a segunda é detalhada, semelhante a uma auditoria. Veremos mais sobre isto adiante. A família ISO/IEC 27000 possui diversas normas relacionadas à SGSI. As mais conhecidas são: • ISO/IEC 27000 – São informações básicas sobre as normas desta série (Vocabulários, objetivos e normas). • ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização. Ela mostra a forma adequada de estabelecer um sistema de gestão de segurança da informação, avaliado e certificado de forma independente. Ela trata dos seguintes tópicos: • compreensão das necessidades e a importância da política da segurança da informação; • implantar e manter controles para gestão de riscos; • acompanhar a performance, eficiência e eficácia da PSI; • estimular melhoria contínua. (Ciclo PDCA). Semelhante às normas ISO 9000 e ISO 14000, a norma 27001 segue o padrão para a certificação de outros sistemas de gestão da ISO. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 53 • ISO/IEC 27002 – Certificação profissional traz códigos de práticas para profissionais. Ela mostra diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, inclusive a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco da segurança da informação da organização. O resultado da análise de riscos irá determinar quais as ações de controle mais adequadas na gestão destes riscos. Esta norma está composta de tópicos e respectivos controles. Estes podem ou não ser implantados, dependendo do tipo, tamanho e necessidade da organização. Alguns destes tópicos são: • organização da segurança da informação; • gerenciamento de ativos; • PSI (Política de Segurança da Informação); • segurança de RH; • gerenciamento de comunicações e operações; • segurança física e de acesso; • aquisição, desenvolvimento e manutenção de sistemas de informação; • conformidade; • gerenciamento de incidentes da segurança da informação; • gerenciamento da continuidade de negócios.• ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI. Nele, concentram-se os aspectos críticos para a implantação e projeto bem sucedido de um SGSI, desde a concepção até a preparação da implantação, incluindo aí o processo de aprovação da direção. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 54 • ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI com o objetivo de avaliar a eficácia do SGSI implementado, além dos controles e/ou grupos de controles. É fundamental lembrar que as métricas e as respectivas avaliações são de extrema importância para conhecer, controlar e melhorar processos, políticas e procedimentos. Desta forma, é possível identificar problemas ou falhas de implantação e execução. • ISO/IEC 27005 – Norma sobre gestão de riscos do SGSI. Estabelece diretrizes para o processo de gestão de riscos de segurança da informação. Deve permitir que o processo de segurança da informação ocorra de maneira eficaz, eficiente e sem interrupções ao longo do tempo. É fundamental que um gestor de riscos tenha uma visão de topo. Desta forma, a criação de processos integrados na gestão de riscos será facilitada. Além disso, o foco deve ser na prevenção. Veremos também que planos alternativos em caso de sinistro farão toda a diferença para a estratégia organizacional. • ISO/IEC 27006 – Norma sobre auditoria e certificação de SGSI, especificando requisitos e fornecendo orientações para empresas e/ou órgãos que prestem serviços de certificação e auditoria em um SGSI. Ela pode ser utilizada como referência para acreditação1, avaliação de pares ou outros processos de auditoria. A área de atuação de auditorias em Sistemas de Gestão de Segurança da Informação está entre a segurança física e lógica da informação até a adequação de conformidade com a legislação vigente e obrigações contratuais. 1 Acreditação é um instrumento para geração de confiança para a atuação de organizações, em nível mundial, que desempenham tarefas de avaliação da conformidade. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 55 Não promover auditorias poderá camuflar insuficiências do SGSI. Dependendo da profundidade destas insuficiências, estas poderão se converter em deficiências, gerando riscos para os dados e informações. Nesta unidade não veremos a ISO/IEC 27005. Ela será vista posteriormente. Relacionamento entre as normas da série ISO/IEC 27000 As Normas da série ISO/IEC 27000 tratam do “percurso” para o desenvolvimento de um Sistema de Gestão de Segurança da Informação (SGSI) nas Organizações de qualquer tamanho ou setor. Isto é muito importante, pois com a velocidade da produção de informações, é fundamental que o armazenamento e proteção sejam fatores determinantes ao sucesso das estratégias nestas organizações. Um SGSI abrange todas as atividades de gestão e suporte a esta gestão importantes para a segurança da informação. Na atualidade, informação (gerando conhecimento) é um dos pilares para o sucesso. Com este aumento crescente, aumenta também dependência das empresas em relação aos Sistemas e Tecnologias da Informação. Sabendo do valor da informação, é fundamental que elas sejam produzidas e armazenadas de forma segura, eficiente e eficaz. O SGSI proporciona, dentre outras facilidades, a gestão dos riscos da segurança da informação garantindo que esta não seja negada, não se torne indisponível, não se perca (destruída ou danificada), não seja divulgada sem autorização ou roubada. A informação é um dos ativos valiosos que envolvem a organização gerando valor para o negócio. Sendo assim, a proteção desta informação é de extrema importância, pois interfere diretamente na estratégia do negócio. A informação é um dos ativos valiosos que envolvem a organização gerando valor para o negócio. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 56 Análise de Risco é um dos instrumentos utilizados para garantir a segurança da informação. Esta análise deve identificar todos os riscos, mostrando as possíveis soluções para eliminar, transferir ou minimizar os riscos. As ameaças são ações, que quando exploradas, podem gerar vulnerabilidade e permitir ataques, provocando incidentes e comprometendo as informações, gerando perda de confidencialidade, disponibilidade e integridade. As ameaças podem ser classificadas em três tipos: • ameaças físicas: decorrentes de fenômenos naturais; • ameaças tecnológicas: provocados por hackers, invasores, vírus, e também por falhas técnicas (hardware e software); • ameaças humanas: São as mais perigosas, provocadas por ladrões e espiões (gerando fraudes e roubos). Normalmente, passam pela engenharia social mencionada anteriormente. Segundo Araújo (2005) “(...) o fator humano é o principal desafio para se ter uma boa e segura conduta de Segurança da Informação”. (ARAÚJO, 2005, p. 5). Com a evolução tecnológica e a facilidade de acesso às informações, é de responsabilidade das organizações adotar e implantar ações de proteção em relação às ameaças das quais são alvo. Análise de Risco é um dos instrumentos utilizados para garantir a segurança da informação. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 57 É o objetivo da Gestão de Segurança de Informação manter a qualidade das informações tratando adequadamente da confidencialidade, integridade e disponibilidade. As normas da série ISO/IEC 27000 foram produzidas de modo a ser o padrão mundial para a Segurança da Informação. A série ISO 27000 constitui um padrão de certificação de sistemas de gestão promovido pela ISO, adequado à produção e implementação de Sistemas de Gestão de Segurança da Informação (SGSI), estabelecendo políticas de segurança e controles adequados. Como vimos, cada uma das normas da série ISO/IEC 27000 possui uma função que se relacionam. A família de normas da ISO/IEC 27000 possui padrões que estabelecem os requisitos para um SGSI e para sua certificação, prestando apoio e orientação aos processos e necessidades do ciclo PDCA (Qualidade Total). A figura abaixo relaciona o SGSI ao ciclo PDCA. FIGURA 1 - Comparativo entre o ciclo PDCA e os passos para implementação de um SGSI Fonte: www.shutterstock.com As normas da série ISO/IEC 27000 foram produzidas de modo a ser o padrão mundial para a Segurança da Informação FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 58 Benefícios da Aplicação da Norma ISO/IEC 27000 e sua série O volume de informações disponibilizadas às organizações, além de crescente, é de vital importância estratégica a elas. Visualizar os benefícios e relacioná-los ao cotidiano das empresas é fator determinante na implantação dos sistemas de segurança. Os principais benefícios da norma ISO/IEC 27000 são: • estabelecer uma metodologia clara de Gestão da Segurança: é de extrema importância, pois a clareza facilita o entendimento e a disseminação do conhecimento; • reduzir o risco de perda, roubo ou alteração da informação: já vimos que a informação é o principal ativo de uma organização. Perda de ativo implica em perdas financeiras, dentre outras; • acessar as informações por meio de medidas de segurança: isto é fundamental, pois formas corretas e seguras no acesso à informação evitam que usuários não autorizados monitorem e/ou acessem indevidamente; • aplicar a Gestão adequada de pessoas a todos os envolvidos na organização: já sabemos que o elo mais fraco no controle e gestão da segurança da informação é composto por pessoas. A correta gestão é fator determinante à segurança; • aumentar a segurança emrelação à gestão de processos: processos mal gerenciados podem gerar falhas e vulnerabilidades. Isto também implicará no risco de um acesso não autorizado e perda de informações; O volume de informações disponibilizadas às organizações, além de crescente, é de vital importância estratégica a elas. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 59 • aplicar a legislação sobre informação pessoal e propriedade intelectual: a legislação permite que pendências jurídicas sejam resolvidas aos olhos jurídicos. Com a devida clareza isto previne ataques por descuido ou falta de informação; • controlar e verificar continuamente os riscos e os seus controles: isto faz parte dos processos de melhoria contínua que podem ser aplicados a qualquer área do conhecimento. Verificações constantes implicam em aprimoramento; • garantir a confidencialidade e a qualidade comercial: o bom gerenciamento permite que a informação permaneça confidencial, gerando ótima visibilidade estratégica da organização. Dificuldades para Implantação de um SGSI Por tudo que vimos, entendemos que é muito importante o desenvolvimento, implantação e manutenção de um SGSI nas organizações. Porém não é tão simples quanto parece. Existem várias dificuldades que devem ser vencidas. Elas serão descritas abaixo: • dificuldade na definição no escopo: muitas vezes, pelo levantamento insuficiente de requisitos e coleta de dados, a definição do escopo fica inadequada, podendo gerar revisões e dificuldades desnecessárias. Quando isto ocorre, tanto o desenvolvimento quanto a implantação do SGSI ficam prejudicados. Isto irá provocar o retrabalho e possíveis perdas para a organização; FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 60 • dificuldade em desenvolver uma abordagem sistemática, clara e simples na gestão dos riscos: a gestão dos riscos é uma área extremamente importante, pois é nela que os possíveis riscos são identificados e a forma de tratá- los é definida de acordo com cada caso. Tratar isto com simplicidade e clareza pode ser a diferença entre o sucesso ou o fracasso na implantação do SGSI; • dificuldade em testar os planos de continuidade do negócio: muitas vezes não há ambientes de simulação ou, quando existem, não são adequados. Desta forma, os testes dos planos de continuidade do negócio ficam incompletos, inconclusivos ou inexistentes, podendo gerar graves consequências em caso de uma crise; • designar indevidamente a área de TI no desenvolvimento do projeto: por falta de definição ou compreensão por parte das outras, a área de TI fica encarregada do desenvolvimento do projeto e, como vimos, o SGSI não é exclusivo na gestão de informações de tecnologia. O gestor terá que buscar a integração das áreas e pessoas envolvidas nos processos e procedimentos. Desta forma, o SGSI será mais completo, coeso e abrangente; • visão incorreta no estabelecimento dos parâmetros dos controles definidos na norma: isto ocorre quando a leitura e/ou interpretação da norma é ineficiente, podendo gerar retrabalho em fases críticas da implantação do SGSI. O gestor terá que ficar muito atento neste ponto, pois estudos mostram que o custo do “retrabalho” normalmente é maior do que o do próprio trabalho. Além do aumento financeiro, este retrabalho pode gerar problemas como refugo, custo de tempo perdido, redução da confiança por parte dos stakeholders, dentre outros; FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 61 • ausência da ação correta ao identificar e usar controles além da norma: ocorre quando a gestão da implantação não assume uma visão de topo. Ou seja, “o que será feito com assuntos e problemas não previstos na norma?”. Muitas vezes (na maioria dos casos), ocorrem situações não previstas e/ou definidas nas normas. E aí, como agir? Neste momento, o gestor terá que utilizar seus conhecimentos e experiências, além de contar com profissionais que possuam o conhecimento no problema que será tratado; • pessoal e Orçamento com limitações: muitas vezes, principalmente no cenário econômico atual, será necessário a convivência da necessidade de desenvolver e implantar o SGSI com as restrições financeiras ou de pessoal. Mesmo com as adversidades, a equipe de gestão terá que encontrar soluções adequadas a este cenário. Além disto, sabemos que no relacionamento humano; por mais profissional que as pessoas busquem ser, sempre há conflitos e jogos de interesse. Isto pode dificultar o desenvolvimento e implantação do SGSI. Caberá ao gestor tratar este ponto, utilizando técnicas de motivação e de gestão de pessoas. Cada um destes fatores tem implicações próprias e peculiares ao tipo e tamanho da organização onde o SGSI será implantado. Porém, independente da dificuldade, ela deve ser transposta, pois o objetivo final (Implantação consistente) deve ser cumprido. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 62 Principais melhorias nas organizações com a implantação de um SGSI Entendemos que, quando há uma proposta de novas implantações em uma organização, sejam estas implantações em qualquer área, elas vão trazer melhorias que justifiquem o projeto. Estas melhorias podem abranger várias ou todas as áreas da empresa. No nosso caso, as melhorias irão tratar de um assunto extremamente estratégico para a empresa, este se refere às informações e ao conhecimento: ferramentas de evolução e competitividade. Ao implantar o SGSI, esperam-se as seguintes melhorias: • cumprimento dos objetivos organizacionais de segurança da informação; • satisfação dos requisitos de segurança de clientes e parceiros de negócios; • melhoria nos seus planos e atividades de curto e longo prazos; • organização e adequação na gestão dos seus ativos de informação promovendo a melhoria contínua. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 63 Engenharia Social Sabemos que os parâmetros técnicos para a segurança lógica e física, quando bem aplicados, minimizam, em muito, várias formas de ataques e invasões. Desse modo, Aos invasores, restou a ingenuidade das pessoas para efetivar suas invasões. Normalmente, os invasores são pessoas com bom conhecimento técnico e boas noções do espaço virtual que tentarão invadir, seja uma empresa, rede, residência etc. Engenharia social é a utilização da boa fé das pessoas com o objetivo de conseguir vantagens para si ou para terceiros. Neste tipo de ataque, o invasor utiliza de suas habilidades de comunicação e conhecimento técnico para ludibriar as pessoas e conseguir informações confidenciais tais como, logins, senhas, documentos físicos e digitais etc. Este tipo de ameaça é considerada, por muitos profissionais da área de segurança da informação, uma das piores formas de ataque, pois envolve a parte mais fraca da tríade “tecnologias, processos e pessoas”. Como se prevenir? 1. Desconfie de chamadas que solicitem muitas informações pelo telefone ou e-mails de pessoas perguntando sobre funcionários e/ou outras informações internas. Caso desconfie, tente verificar a identidade diretamente com a empresa. 2. Não forneça informações pessoais ou informações sobre sua empresa, incluindo a estrutura, a menos que você esteja certo que uma pessoa pode ter essas informações. 3. Não revele informações pessoais ou financeiras em e-mail e muito cuidado ao responder e-mails com essas solicitações, sempre procure verificar a veracidade de quem enviou o e-mail. Isso inclui os links enviados no e-mail, na dúvida, não clique. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO unidade 3 64 4. Preste atenção
Compartilhar