Segurança da Informação AV1

Prévia do material em texto

Segurança da Informação (Verdadeiro ou Falso).
O que o CERT faz (marcar incorreta).
É responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira. Mantém estatísticas sobre notificações (voluntárias) de incidentes a ele reportados.
Tipos de proteção (marcar incorreta).
Proteção: são as medidas que são adotadas para fornecer segurança aos ativos, classificadas em: lógica, física e administrativa. Tipos: 
PREVENTIVA - Impedir ou dificultar uma violação de segurança em potencial com a implantação de uma contramedida (Evita que incidentes ocorram); 
DESENCORAJADORA - Reduzir a ameaça, desencorajando a ação pelo medo ou pela dúvida (Desencoraja a prática de ações);
LIMITADORA - Reduzir o risco reduzindo o valor das perdas potenciais ou reduzindo a probabilidade de ocorrer a perda (Diminui os danos causados);
MONITORADORA - Monitora o estado e o funcionamento.
DETECTORA - Determinar que uma violação de segurança é iminente, está em andamento, ou que ocorreu recentemente, e assim tornar possível tomar alguma ação para reduzir a perda em potencial (Detecta a ocorrência de incidentes);
REATIVA - Reage a determinados incidentes;
CORRETIVA - Alterar a arquitetura de segurança utilizada com o objetivo de eliminar ou reduzir o risco de recorrência de uma violação de segurança ou ameaça(s), tais como, eliminando a(s) vulnerabilidade(s). (Repara falhas existentes);
RECUPERADORA - Restaurar a um estado normal de operação do sistema, compensando uma violação de segurança, possivelmente através da eliminação ou reparação de seus efeitos. (Plano de contingência, Repara danos causados por incidentes).
Propriedades da Segurança da Informação (qual foi atacada).
CONFIDENCIALIDADE - Propriedade de que a informação não esteja disponível para pessoas, entidades ou processos não autorizados. 
INTEGRIDADE - Propriedade de proteger a exatidão e a completeza de ativos.
DISPONIBILIDADE - Propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas.
Definição de Ameaça, Risco e Vulnerabilidade (Verdadeiro ou Falso).
AMEAÇA - Uma categoria de objetos, pessoas ou outras entidades que apresentam perigo a um ativo. Ameaças estão sempre presentes e podem ser propositais ou indiretas. Elemento material ou imaterial que pode comprometer a tríade da segurança da informação.
VULNERABILIDADE: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Malware (vírus? Worm? Cavalo de troia? Backdoor?).
Definição Propriedades da Segurança da Informação (marcar correta).
CONFIDENCIALIDADE - Propriedade de que a informação não esteja disponível para pessoas, entidades ou processos não autorizados. 
INTEGRIDADE - Propriedade de proteger a exatidão e a completeza de ativos.
DISPONIBILIDADE - Propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas.
Os pilares da Segurança da Informação (elementos que tem relação com esses pilares).
Além da tríade CID, ainda inclui a Autenticidade e o Não repúdio.
AUTENTICIDADE - Propriedade de assegurar as veracidades do emissor e do receptor de informações trocadas.
NÃO REPÚDIO (Irretratabilidade) - Garantia de que o autor de uma informação não poderá negar falsamente a autoria de tal informação. (Autenticidade e Integridade juntas garantem o Não-Repúdio)
Melhorismo(?) da segurança, implementação.
Descrição para garantir uma propriedade da Segurança da Informação.
Ciclo de vida da informação, associação com os 5 pilares (marcar correta).
Associar um mecanismo para garantir uma propriedade da Segurança da Informação.
Identificar se uma propriedade tem relação com outra.
Ativos: lógicos, físicos ... (completar texto).
Ativo é qualquer coisa que tenha valor para a organização
INFORMAÇÃO É UM ATIVO
Ativos podem ser:
Lógicos
Dados armazenados em um servidor
Sistema de ERP (Enterprise Resource Planning)
Uma rede
Físicos
Estação de trabalho
Sistema de ar condicionado
Fábrica
Humanos
Empregados
Prestadores de serviços
Incidentes e ameaças (completar 4 lacunas).
Ameaças Físicas: Falhas dos Equipamentos e Instalações
Ameaças Lógicas: Vulnerabilidades em softwares, como bugs
Hacker: Usuário avançado, que possui um exímio conhecimento em informática
Cracker: Usuário que quebra sistemas de segurança de acesso a servidores. O cracker também burla os sistemas anticópia e antipirataria de alguns programas (cria “cracks”)
Backdoor: Brecha intencional, não documentada, em programa legítimo, que permite o acesso ao sistema por parte de seus criadores ou mantenedores
Spam: Envio em massa de mensagens de e-mail não autorizadas pelos destinatários
INCIDENTE: Ameaças que se concretizam e causam danos
Conceito de risco, gerenciamento e gestão de riscos.
O Risco é a probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidade causando prejuízos
Gestão de Riscos (GR) é o processo que identifica e trata os riscos de forma sistemática e contínua
Sistema de Gestão de Riscos é o conjunto de práticas e procedimentos que são utilizados para gerenciar os riscos
Gestão de risco, o que é feito em cada fase.
Gestão de Riscos compreende as seguintes etapas:
 Estabelecimento do Contexto
A definição de critérios básicos
 A definição do escopo e dos limites da Gestão de Riscos
 O estabelecimento de uma organização apropriada para operar a Gestão de Riscos
 Identificação dos Riscos
Listas de probabilidades, bases de dados de vulnerabilidades
 Análise / avaliação dos Riscos
Baseado no impacto e na probabilidade
Compara os riscos identificados com os critérios definidos pela organização
É feita a decisão entre tratar ou aceitar o risco
 Tratamento do Risco
são selecionadas e implementadas medidas de forma a reduzir os riscos que foram identificados e que o Plano de Tratamento do Risco (PTR) seja definido
São feitas recomendações para que a empresa crie ou modifique os mecanismos de segurança existentes
 Aceitação do Risco Residual
deve ser formalmente registrada, juntamente com a responsabilidade pela decisão.
 Comunicação do Risco
consiste na troca e/ou compartilhamento das informações sobre riscos entre o tomador de decisão e as outras partes interessadas, com o objetivo de atingir um consenso sobre como os riscos devem ser administrados.
 Monitoração e avaliação dos resultados
consiste na obtenção periódica e análise crítica dos fatores de risco (valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidade de ocorrência), a fim de se identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de se manter uma visão geral dos riscos
Tipos de malware (2 acertivas).
Tipos de ataque: smurf, DOS... (dizer qual é o ataque descrito no exemplo).
ATAQUE - Ação realizada contra um sistema de informações com intenção de obter, tornar indisponível e danificar informações.
DoS (Denial-of-Service) Negação de serviço
Não é o nome de uma técnica de ataque, mas de uma série de técnicas
 Todo ataque DoS tem como objetivo fazer o computador vítima deixar de responder às requisições verdadeiras, ou seja, atentar contra a disponibilidade do sistema.
 Tirar o servidor da tomada é um exemplo de ataque de DoS...
IP Spoofing (Disfarce de IP)
Não é bem uma forma de ataque, mas uma técnica para fazer um atacante não ser detectado.
 É possível “forjar” o endereço IP de origem de um pacote para evitar represálias dos sistemas atacados.
Ataque Smurf
O atacante usa um endereço IP disfarçado na origem (spoofing) para enviar solicitações ping ao endereço que corresponde a todas as máquinas da rede (broadcast)
Entretanto, todas respostas serão destinadas a uma única máquina com endereço IP verdadeiro da rede, com isso todas as estações da rede enviarão pacotes de resposta a essa máquina
Ataque do Homem no meio
Em Inglês man-in-the-middle attack (MITM)
 O atacante se infiltra entre as partes comunicantes para escutar, capturar ouaté interceptar as mensagens e alterá-las durante a sessão.
 As entidades comunicantes acreditam que estão se comunicando diretamente.
 Transações sujeitas ao MITM
 Sítios bancários: entre login e autenticação
 Conexões supostamente seguras com chaves públicas ou privadas
 Outros sítios que exigem login 
Buffer Overflow (Sobrecarga de memória)
Consiste em oferecer a um servidor uma quantidade de dados que ele não suporta para uma determinada informação
 Se houver falhas na forma como o servidor lida com tais excessos, ele poderá “invadir” uma área de memória destinada a outra parte do programa e, com isso, travar
Ping of Death
É um tipo de ataque de Buffer Overflow que consiste em enviar um pacote ICMP (comando PING) com tamanho superior à 64KB (65536 bytes)
 A maioria dos sistemas operacionais travava ou reiniciava o computador quando recebia esse tipo de pacote
 Hoje, os principais sistemas de informação são imunes a esse ataque
Phishing (Trocadilho com pescaria)
É um golpe para “pescar” (obter) dados dos usuários, como senhas de banco, número de cartões de crédito, etc.
 Normalmente implementado por uma réplica da página do banco que o usuário costuma acessar (ele recebe um e-mail contendo um link para um endereço falso que aparece a página real do Banco)
Pharming (Envenenamento de cache DNS)
É um golpe que consiste em alterar os registros de endereços IP baseados em um servidor DNS para que apontem para um determinado IP que não é o real
 Exemplo: Alterar, em um DNS, o IP associado ao endereço www.bb.com.br para que aponte para o IP de um site réplica do BB
Engenharia Social
uma técnica que consiste em enganar usuários usando técnicas de persuasão
 Através deste recurso valioso, é possível ter acesso a informações importantes para a rede, como senhas de usuários, horários de realização de operações específicas na rede...
Malware (identificar tipo pela descrição).
Vírus de computador: Um programa (ou parte de um programa) que:
Necessita de um hospedeiro para existir (um vírus se “anexa” ao conteúdo de um arquivo para viver)
Consegue se replicar (copiar) sozinho para outros arquivos (hospedeiros)
Cavalo de Tróia (Trojan Horse): Programa que se apresenta como algo inofensivo (um jogo, um cartão de Natal, etc.)
Na verdade, esconde objetivos maliciosos, como apagar dados, roubar informações e, mais comumente, abrir portas de comunicação para que se possa invadir o computador que o executou
Sniffer 
Um programa que é instalado na máquina do atacante e serve para capturar os quadros da rede que chegam àquela máquina, mesmo os que não estão oficialmente direcionados a ela
A placa de rede passa a operar em “modo promíscuo”, não rejeitando nenhum quadro que chegou
Spyware
Um programa que monitora e registra os “hábitos” de navegação e acesso à Internet do micro infectado
Um spyware pode conter keyloggers (capturadores de teclado) e screenloggers (capturadores de tela) para “copiar” o que o usuário está fazendo no computador
Adware
Um programa que fica “fazendo anúncios de propaganda” no micro infectado
Pode ser um programa lícito, acompanhando outros programas como programas mensageiros instantâneos ou programas de compartilhamento de arquivos
 Fica “abrindo páginas” ou mostrando imagens e links de cassinos, lojas, etc.
Port Scanner
Um programa que vasculha um computador alvo à procura de portas (serviços) abertas para que, através delas, se possa perpetrar uma invasão àquele micro
 Um port scanner, na verdade, envia sucessivos pacotes a várias portas diferentes, esperando receber um pacote de resposta por uma delas
Exploit
Um programa construído para tirar vantagem de alguma falha, ou vulnerabilidade, conhecida em um sistema de informações
 Um Exploit é construído por um hacker (ou cracker) para permitir que usuários menos “conhecedores” possam invadir ou prejudicar o funcionamento de computadores. É um programa para “script kiddies” (amadores)
Worm
Um programa que usa apenas a estrutura das redes para se copiar de micro para micro, degradando a velocidade da comunicação nesta estrutura.
Não precisa de hospedeiro, pois ele próprio é o arquivo que se copia, nem precisa ser acionado pelo usuário, pois se utiliza de falhas nos protocolos e serviços da rede para se espalhar.
_____________________________________________________
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado.
Legalidade: 
Trata-se do embasamento legal.