Seguranca_de_Sistemas

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

*
*
*
Segurança da Informação
Prof. Augusto Pannebecker Fernandes
augustopan@gmail.com
@AugustoPan
2013/1
*
*
*
Para Pensar...
	“Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas...” 
A arte da guerra - Sun Tzu 
*
*
*
Segurança da Informação
O que é Informação ?
	“Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente necessita ser adequadamente protegido.” 
*
*
*
Segurança da Informação
Tipos 
de Informação :
	
*
*
*
Segurança da Informação
Tipos de Informação :
	
*
*
*
Segurança da Informação
Informações a serem protegidas :
Internas da companhia 
	Informação que você não gostaria que a concorrência soubesse 
	Ex.: planilhas de custos, folha salarial, etc.
De clientes e fornecedores 
	Informação que eles não gostariam que você divulgasse 
	Ex.: compras efetuadas, dados sigilosos, etc.
De parceiros 
	Informação que necessita ser compartilhada com outros parceiros comerciais 
	Ex.: valores comercializados, entre outros.
	
*
*
*
Segurança da Informação
A Informação pode ser :
Criada 
Transmitida 
Processada
Armazenada
Corrompida/Perdida
Destruída 
*
*
*
Segurança da Informação
Ameaças à Informação :
Funcionários descontentes ou desmotivados 
Baixa conscientização nos assuntos de segurança 
Crescimento do processamento distribuído e das relações entre profissionais e empresas 
Aumento da complexidade e eficácia das ferramentas de hacking e dos vírus 
E-mail 
Inexistência de planos de recuperação a desastres 
Desastres naturais ou não (incêndio, inundação, terremoto, terrorismo, etc.) 
Falta de políticas e procedimentos implementados 
	
*
*
*
Segurança da Informação
Impactos :
Perda de clientes e contratos
Danos à imagem 
Perda de produtividade 
Aumento no custo do trabalho para conter, reparar e recuperar 
Aumento de seguros 
Penalidades legais e multas 	
*
*
*
Segurança da Informação
Pilares da Segurança da Informação :
Confidencialidade: assegurar que a informação é acessível somente às pessoas autorizadas .
Integridade: proteger a exatidão e complexidade da informação e dos métodos de processamento. 
Disponibilidade: assegurar que os usuários autorizados tenham acesso à informação e ativos associados quando necessário. 
	
*
*
*
Segurança da Informação
O que são ativos? 
Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação. 
Um ativo é algo a que a organização atribui valor, por exemplo: 
Informação eletrônica 
Documentos em papel 
Software e hardware 
Instalações 
Pessoas 
Imagem e reputação da companhia 
Serviços 
*
*
*
Segurança da Informação
Vulnerabilidades:
Vulnerabilidades são fraquezas associadas aos ativos da organização. 
			Vulnerabilidade = ponto fraco 
Humanos: 
	Contratação inadequada 
	Falta 
Instalação: 
	Falta de mecanismo de monitoramento 
	Proteção física inadequada 
	Energia elétrica instável 
Banco de dados: 
	Falta de backup 
	Armazenamento inadequado
*
*
*
Segurança da Informação
Ameaças:
Os ativos estão sujeitos a muitos tipos de ameaças que exploram suas vulnerabilidades. 
		Ameaça = uma ocorrência, um fato 
Humanos 
	Falta de conhecimento 
	Doença 
Instalação 
	Chuva forte, raios 
	Pessoas não autorizadas com acesso 
Banco de dados 
	Ambiente inadequado 
*
*
*
Segurança da Informação
A informação e a Internet:
	
	A Internet veio amplificar a importância da informação e suas vulnerabilidades, e potencializar extraordinariamente as ameaças à sua segurança. 
	Informação não só é mais abundante como está muito mais disponível. É ubíqua e de múltiplas fontes, remotas ou locais, públicas ou anônimas. 
	Os meios de acesso à informação são cada vez mais baratos, variados e poderosos. 
	O mesmo acontece com as ferramentas à disposição dos mal-intencionados. 
*
*
*
Segurança da Informação
Exemplo de ataques:
	Ataques ao software do servidor incluem roubo de informações e alterações em dados (contas, informação pessoal, senhas) e programas. 
	
	Ataques ao software do cliente incluem modificação de programas, acesso ao cache do navegador, entre outros. 
	
	Ataques ao sistema operacional do servidor visam o acesso não autorizado a arquivos, instalação de vírus, entre outros. 
	
	Ataques à transação de pagamento podem ocorrer em vários níveis: TCP/IP, protocolos de conexão, e protocolo de pagamento. 
*
*
*
Segurança da Informação
Novas ameaças: 
	Endereços de rede perdem significado. Problemas de autenticação são o novo desafio. 
	
	Código móvel é vulnerável a ataques de servidores maliciosos. 
	Servidores recebem códigos nem sempre confiáveis e estão sujeitos a ataques também. 
*
*
*
Segurança da Informação
Novas ameaças: 
	BYOD (Bring Your Own Device) – Traga seu próprio dispositivo.
	Cloud Computing (Computação na nuvem).
	 Computação Móvel.
*
*
*
Segurança da Informação
Origem dos Ataques:
	A maioria dos ataques vêm de dentro das organizações e são os mais caros e difíceis de conter. São, obviamente, os menos divulgados. 
	Ataques de hackers, crackers e outros são os mais conhecidos e divulgados. Tendem a causar danos mais localizados 
*
*
*
Segurança da Informação
Defesas:
	Técnico: na forma de protocolos, técnicas e práticas de programação dedicados a prover alguns dos requisitos da segurança da informação; ou 
	Administrativo: na forma de normas e procedimentos sistemáticos para atribuição de responsabilidades, distribuição de informações sensíveis e controle de acesso, disponibilização de recursos financeiros, entre outros; e 
	Político: na forma de regulamentos e leis para o embasamento das medidas de segurança necessárias. 
*
*
*
Segurança da Informação
Novas ameaças: 
	Endereços de rede perdem significado. Problemas de autenticação são o novo desafio. 
	
	Código móvel é vulnerável a ataques de servidores maliciosos. 
	Servidores recebem códigos nem sempre confiáveis e estão sujeitos a ataques também. 
*
*
*
Segurança da Informação
Sobre os Hackers/Crackers:
Os mesmos tem uma grande vantagem: disponibilidade (tempo e recursos).
*
*
*
Segurança da Informação
Ainda sobres os Hackers:
Primeiro Passo: procurar/eleger um alvo.
Segundo Passo: coletar informações.
Terceiro Passo: disparar o ataque.
*
*
*
Segurança da Informação
Fatores importantes:
Tenho internet, logo meu IP é público e podem me encontrar 
Tenho tudo instalado e configurado (firewall, roteador, VPN, software antivirus, servidor proxy), mas e o fator humano ? 
Considere por um momento se as pessoas são treinadas em segurança? 
*
*
*
Segurança da Informação
Considere por um momento se as pessoas são treinadas em segurança?
Elas saberiam o que fazer se alguém tentasse enganá-los em fornecer informações potencialmente sensíveis ? 
Existem quantas cópias das chaves do prédio ? 
O que o pessoal da limpeza faz quando não há ninguém lá ? 
O seu lixo é descartado adequadamente, ou apenas jogado na lata ? 
*
*
*
Segurança da Informação
No quesito segurança, vale ressaltar: 
...Existe sempre alguém lá fora mais esperto, mais sábio e melhor equipado que você... 
Ou seja, 
Nunca subestime seu adversário !
Principalmente pelo fator TEMPO !
*
*
*
Segurança da Informação
Coletando informações :
• Também conhecida como Engenharia Social. 
• Coletar informações inocentes de uma pessoa via engenharia social é muito mais fácil do que tentar passar pelo firewall. 
• Fundamentalmente as pessoas querem confiar nas outras,
sendo mais vulneráveis à engenharia social. 
*
*
*
Segurança da Informação
Alvos de oportunidade :
• Frases muitas vezes repetidas por administradores de empresas em geral: 
... Nós somos um <Negócio fora da TI> e não há nada em nossa rede que um hacker deseje. Por que deveríamos nos preocupar?... 
• Talvez a empresa em questão não seja um banco, mas sua empresa certamente contém: servidores, espaço em disco, largura de banda e informações pessoais de funcionários... 
*
*
*
Segurança da Informação
Motivação para ataques :
• 99 % são financeiros;
• Restante podem ser políticos, encomendados, mídia, etc.
*
*
*
Segurança da Informação
O processo de ataque :
1. Reconhecimento e FootPrinting 
2. Rastreamento 
3. Enumeração 
4. Obtenção de Acesso 
5. Escalonamento 
6. Criação de Portas secretas (backdoors) e encobrimento de rastros .
*
*
*
Segurança da Informação
Reconhecimento e FootPrinting :
Preparação inteligente do campo de batalha 
Metas de reconhecimento e pegadas 
Coleta de informações sobre o alvo
*
*
*
Segurança da Informação
Metas de reconhecimento e pegadas: 
Tecnologia 				O que é aprendido 
Disponível na 		Idealmente, um alvo deve estar conectado à Internet; Internet		o atacante pode aprender o seguinte: 
				• Os nomes de domínio e DNS do servidores do alvo 			• Quais endereços IPs específicos são acessíveis da 			Internet 
				• Dos IPs acessíveis, quais serviços (www, ftp, e-				mail), são alvos viáveis? 
				• Dos serviços encontrados, quais tipos de computadores - 			tanto hardware como SO, estão sendo executados? 
				• Qual tipo de firewall, Sistema de Detecção de Intrusão			está presente? 
				• Onde estão localizados fisicamente dispositivos/sistemas 
*
*
*
Segurança da Informação
Metas de reconhecimento e pegadas :
Tecnologia 			O que é aprendido 
Características 		 	Os engenheiros de rede	compreendem da Intranet	 		que os hackers tentam e obtém 					acesso à Internet 
					• Como forma de proteção, 					muitas redes possuem infraestrutura 				duplicada interna e externa de firewall 
					• Como resultado, um hacker 					persistente repete os passos do 				reconhecimento que construiu para a 				Internet contra seus alvos na intranet 
*
*
*
Segurança da Informação
Metas de reconhecimento e pegadas :
Tecnologia 			O que é aprendido 
Acesso Remoto 		• Que tipo de acesso remoto 				está disponível 
					• Onde o acesso remoto 					conecta-se e qual é o destino 				da conexão? 
					• Como o acesso à Internet é 				controlado? (RADIUS,					TACACS)? 
*
*
*
Segurança da Informação
Formas de conseguir informações sobre o alvo:
• Observação do Sistema de Nomes de Domínio (DNS) 
	• Comando: nslookup 
• Consulta ao Whois 
	• Whois web interface (http://networksolutions.com) 
	 www.who.is
	• Registro.br (http://registro.br) 
*
*
*
Segurança da Informação
Conseguido informações sobre o alvo: 
• Reconhecimento Passivo: simples ‘escuta’ (nslookup) 
• Reconhecimento Ativo: determinar quais serviços estão rodando neste servidor 
	• Ping Scan (Ex.: WhatRoute) 
*
*
*
Segurança da Informação
Scanning 
Neste ponto o atacante possui informações gerais sobre sua rede: 
	• Maquinas da rede 
	• Seus Sistemas Operacionais 
	• Administradores do Sistema 
	• Localização física 
	• Quem tem Sistemas de Prevenção contra Intrusos 
		
		Ex.: NMAP, Nessus, Languard
*
*
*
Segurança da Informação
Enumeração 
	
• Definir o ambiente de rede envolve: 
	footprinting, rastreamento e enumeração. 
• Footprinting - limita a abrangência do ataque 
	• Alvos com maior vulnerabilidade 
• Rastreamento - diz ao atacante quais portas estão abertas e quais serviços estão sendo executados 
*
*
*
Segurança da Informação
Enumeração 
• Enumeração - é a extração de informações de contas válidas e exportação de recursos. 
	• Três principais categorias dentro de uma rede 
		• Recursos de rede e compartilhamentos 
		• Usuários e Grupos 
		• Aplicativos 
*
*
*
Segurança da Informação
Enumeração 
• Enumeração no MS Windows 
	• net view 
	• nbtstat -A (ip) 
	• nbtstat -c 
• Bloqueio da consulta 
	• Portas TCP e UDP 135 até 139 
	• Portas TCP e UDP 445 
*
*
*
Segurança da Informação
Obtendo Acesso 
Quatro tipos principais de exploração: 
	• Ataques a sistemas operacionais 
	• Ataques a aplicativos 
	• Ataques de desconfiguração (defacement) 
	• Ataques de scripts 
		• Buffer Overflow 
		• Adivinhação de senhas por força bruta 
		• Sniffing de senhas 
		• Capturar o arquivo de senhas 
*
*
*
Segurança da Informação
Cobrindo os rastros 
Depois de obter propriedade no sistema é preciso ocultar este fato do administrador... 
	• Para Windows: 
		• Limpar as entradas no registro de eventos (event 								log) 
	• Para um sistema UNIX: 
		• Limpar o arquivo de histórico 
		• Limpar as entradas do UTMP, WTMP e Lastlog 
*
*
*
Segurança da Informação
Mantendo o contato 
• Criação de backdoors (portas de saída) para acesso futuro. 
	Ex. Netcat (nc)
• Dentre eles estão: 
	• Criação de contas 
	• Tarefas em background 
	• Infectar arquivos de inicialização 
	• Permitir serviços de controle remoto/software 
	• Substituir aplicativos e serviços legítimos por trojans 
*
*
*
Segurança da Informação
Mantendo o contato 
As possíveis ferramentas incluem: 
	• Netcat - ler e escrever dados em conexões de redes 
	• VNC (Virtual Network Computing) - sistema de 
				exibição/controle remoto 
	• Registradores de Teclas (keystroke, loggers) 
	• Programas personalizados 
		• Windows - (chamada nos arquivos system.ini, 			win.ini, autoexec.bat, config.sys) 
		• Linux - entradas no diretório /etc/rc.d 
*
*
*
Segurança da Informação
Origem dos ataques:
*
*
*
Segurança da Informação
Incidentes reportados ao CERT.br – Abril a Junho de 2012: