Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação 1Professor MSc Rogério Alves Introdução A segurança da informação é um tema que aborda diversas áreas. Atualmente com os mais diversos tipos de redes, inúmeros programas e uma grande variedade de usuários, é cada vez mais comum que surjam problemas relacionados à segurança em sistemas. Recursos que estão disponíveis e são mantidos em sistemas distribuídos têm um alto valor para seus usuários. Logo, a segurança desses recursos é de fundamental importância, de forma que podemos dizer que a necessidade de mecanismos de segurança em sistemas distribuídos surge do desejo de compartilhar recursos. Introdução Alguns exemplos de problemas de segurança da informação nas empresas. •Apple •Sony •XP investimentos •Ashley Madison Problemas além da segurança da informação •Eleições nos EUA •Democracia •Executiva é demitida por postar piada racista no Twitter... - Veja mais em https://economia.uol.com.br/empregos-e-carreiras/noticias/redacao/2013/12/23/executiva-e-demitida- por-postar-piada-racista-no-twitter.htm? https://br.sputniknews.com/mundo/201703217948428-hackers-resgate-contas-apple/ http://temas.folha.uol.com.br/futuro-digital/seguranca-e-o-mundo-digital/hack-do-seculo-caso-sony-chama-atencao-para-seguranca-de-dados.shtml http://zh.clicrbs.com.br/rs/noticias/economia/noticia/2017/01/hackers-roubam-dados-de-clientes-da-xp-investimentos-diz-jornal-9545799.html https://tecnoblog.net/184013/ashley-madison-consequencias-vazamento/ http://www1.folha.uol.com.br/mundo/2016/12/1841384-hackers-russos-invadiram-as-eleicoes-dos-eua-em-favor-de-trump.shtml http://epoca.globo.com/tecnologia/experiencias-digitais/noticia/2017/01/hackers-ameacam-governos-democraticos.html https://tecnoblog.net/184013/ashley-madison-consequencias-vazamento/ Introdução A segurança da informação pode ser definida como um conjunto de ações que são executadas com a finalidade de prover segurança às informações de indivíduos e organizações (CONCEIÇÃO, 2014). Atributos básicos de Segurança da Informação Autenticidade: A autenticidade é um atributo que visa estabelecer a origem da informação, buscando verificar a identidade de um usuário (CONCEIÇÃO, 2014). Assim, objetiva-se garantir que o usuário ou serviço é realmente quem diz ser e que tem os privilégios necessários para acessar e ou enviar uma determinada informação; Integridade: A integridade é aquela que se preocupa em evitar ou em detectar a modificação não autorizada de informações ou mensagens; Confidencialidade: preocupa-se com a proteção contra acessos não autorizados de dados e informações. Esse atributo procura proteger o conteúdo de uma mensagem ou informação para que ele não possa ser visualizado no momento da transmissão, exceto por serviços autorizados a visualizá-los (BERTINO et al., 2010); Disponibilidade: a disponibilidade está preocupada com a garantia de que os serviços de informação permaneçam acessíveis somente a usuários autorizados. Em outras palavras, esse atributo busca garantir que a informação, recurso estará disponível quando solicitada (CONCEIÇÃO, 2014). Ameaças e ataques Vulnerabilidades de segurança em um sistema distribuído podem ser intencionalmente exploradas ou inadvertidamente disparadas. Ameaças são apenas potenciais problemas que podem ou não ocorrer com um ataque. Segundo Verissimo (2001), hackers buscam por falhas e vulnerabilidades dos sistemas operacionais, aplicativos, software de rede e assim por diante. Usuários imprudentes ou administradores podem apresentar outras falhas, por causa da maneira como eles configuram ou executam os sistemas que operam. Ameaças e ataques Conceitos que auxiliam o entendimento de vulnerabilidades. • Vulnerabilidades são falhas introduzidas, acidentalmente ou intencionalmente, durante o processo de desenvolvimento, configuração, operação e manutenção do sistema; • Ataques são ações que exploram vulnerabilidades, podendo comprometer ou não as propriedades de segurança do sistema; • Intrusão no sistema é o resultado de um ataque bem sucedido. Ameaças e ataques A segurança em sistemas de computação pode ser vista de várias formas, uma forma concreta é aquela em que procuramos proteger serviços e dados que os sistemas oferecem contra ameaças a segurança (TANENBAUM, 2007). Podemos ainda dizer que o principal objetivo da segurança é de restringir o acesso às informações e aos recursos apenas à aqueles que estejam autorizados a ter acesso a esses recursos (COULOURIS, 2013). Ameaças e ataques Quando falamos de ameaças à segurança da informação, podemos categorizá-las em quatro categorias genéricas (TANENBAUM, 2007): interceptação, interrupção, modificação e invenção. Interceptação: a interceptação refere-se à situação em que uma parte não autorizada consegue acesso a um serviço ou a dados. Interrupção: a interrupção se refere à situação na quais serviços ou dados ficam indisponíveis, são inutilizados, destruídos e assim por diante. Modificação: a modificação está relacionada à alterações não autorizada de dados ou interferências de um serviço de modo que ele não siga mais suas especificações originais. Invenção: a invenção refere-se à situação na qual são gerados dados ou atividades adicionais que normalmente não existiriam. Exemplos de Ameaças e ataques CÓDIGOS MALICIOSOS Aplicativos Maliciosos (Malware) Aplicativo malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança, o termo malware também é conhecido por “software malicioso”. Alguns exemplos de malware são: vírus; worms e bots; backdoors; cavalos de tróia; keyloggers e outros programas spyware. Exemplos de Ameaças e ataques Cavalos de Tróia Cavalo de tróia (trojan horse) é um programa, normalmente recebido como um “presente” (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo etc.), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Tem como função abrir portas de acesso ao computador, desabitar ferramentas de segurança, enviar informações referentes ao computador do usuário como, por exemplo, endereço de IP, sistema operacional utilizado, navegador utilizado, portas que estão sendo utilizadas etc. Estas informações são utilizadas pelo invasor para definir uma estratégia de invasão, pois sabendo os pontos fracos (vulnerabilidades) desses programas poderá ser facilmente explorada pelo atacante. Exemplos de Ameaças e ataques Backdoors Normalmente, um invasor procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão e, é claro, sem ser notado. A esses programas que facilitam o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim, dá-se o nome de backdoor. Exemplos de Ameaças e ataques Adware e Spyware Adware (Advertising software) é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. Um exemplo do uso legítimo de adwares pode ser observado no programa de troca instantânea de mensagens, MSN Messenger. Exemplos de Ameaças e ataques Spyware Spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuáriodurante a navegação na Internet, direcionando as propagandas que serão apresentadas. Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa. Exemplos de Ameaças e ataques Spyware Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: • Monitoramento de URL’s acessadas enquanto o usuário navega na Internet; • Alteração da página inicial apresentada no browser do usuário; • Varredura dos arquivos armazenados no disco rígido do computador; • Monitoramento e captura de informações inseridas em outros programas, como IRC ou processadores de texto; • Instalação de outros programas spyware; • Captura de senhas bancárias e números de cartões de crédito; • Captura de outras senhas usadas em sites de comércio eletrônico. É importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade do usuário e, pior, a segurança do computador do usuário, dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros. Exemplos de Ameaças e ataques Spyware Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: • Monitoramento de URL’s acessadas enquanto o usuário navega na Internet; • Alteração da página inicial apresentada no browser do usuário; • Varredura dos arquivos armazenados no disco rígido do computador; • Monitoramento e captura de informações inseridas em outros programas, como IRC ou processadores de texto; • Instalação de outros programas spyware; • Captura de senhas bancárias e números de cartões de crédito; • Captura de outras senhas usadas em sites de comércio eletrônico. É importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade do usuário e, pior, a segurança do computador do usuário, dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros. Exemplos de Ameaças e ataques Keyloggers Keylogger é um programa que duplica o que é digitado pelo usuário. Um arquivo é gerado e enviado para o e-mail do invasor ou para um servidor de arquivos. O atacante procura sequência de informações como: endereços de sites, nome de usuário, senhas, identidades de acesso, RG, CPF, endereços residenciais e comerciais, números de cartão de créditos (com código verificador e data de validade) etc. Exemplos de Ameaças e ataques Screenloggers Screenlogger é um programa semelhante ao Keylogger, porém ao invés de colher informações digitadas pelo usuário, envia, em forma de imagem, a região clicada pelo usuário. Essa técnica visa obter informações que não seriam obtidas pelos Keyloggers, por exemplo, senhas clicadas em um teclado virtual etc. Exemplos de Ameaças e ataques Worms Worm é um programa independente com capacidade de se auto- propagar através de redes, enviando cópias de si mesmo de computador para computador, explorando a vulnerabilidade de programas e sistemas ou falhas na configuração de softwares instalados. O Worm não é um vírus, pois não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para se propagar. Pode abrir portas de acesso para entrada de novos Worms. Ex : https://www.trustsign.com.br/blog/stuxnet/index.html https://www.trustsign.com.br/blog/stuxnet/index.html Exemplos de Ameaças e ataques Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Os vírus criam cópias de si mesmo, espalhando-se pelo computador, dificultando a ação do antivírus. Os vírus de computador podem gerar desde travamentos, lentidão, perda de dados e até mesmo danificar programas e arquivos. Exemplos de Ameaças e ataques Vírus Os principais tipos de vírus são: • Vírus de arquivos: infectam arquivos de programas e criados pelo usuário; • Vírus de boot: infectam os arquivos de inicialização do sistema, escondem-se no primeiro setor do disco e são carregados na memória antes do sistema operacional; • Vírus de macro: comuns em arquivos do Word e Excel são vírus que ficam anexados ao arquivo; • Vírus criptografados: são vírus que tem seu código fonte (linhas de comando) criptografadas, ou seja, os caracteres da programação são alterados por outros caracteres. Tudo isso para dificultar sua interpretação e consequentemente seu antídoto. • Vírus polimórficos: destaca-se por multiplicarem-se com facilidade e para cada novo vírus gerado seu código fonte é alterado. Exemplos de Ameaças e ataques Vírus Os principais tipos de vírus são: • Vírus de arquivos: infectam arquivos de programas e criados pelo usuário; • Vírus de boot: infectam os arquivos de inicialização do sistema, escondem-se no primeiro setor do disco e são carregados na memória antes do sistema operacional; • Vírus de macro: comuns em arquivos do Word e Excel são vírus que ficam anexados ao arquivo; • Vírus criptografados: são vírus que tem seu código fonte (linhas de comando) criptografadas, ou seja, os caracteres da programação são alterados por outros caracteres. Tudo isso para dificultar sua interpretação e consequentemente seu antídoto. • Vírus polimórficos: destaca-se por multiplicarem-se com facilidade e para cada novo vírus gerado seu código fonte é alterado. Ex : http://malwarerid.com.br/malwares/cryptolocker/ http://malwarerid.com.br/malwares/cryptolocker/ Exemplos de Ameaças e ataques Spam Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de mensagem também é referenciado como UCE (do inglês Unsolicited Commercial E-mail – Email Comercial Não Solicitado). Este e-mail contém propaganda, enganosa ou não. Podem conter vírus anexados à mensagem, bem como conter links que direcionam para arquivos maliciosos. Exemplos de Ameaças e ataques Phishing Phishing, também conhecido como phishing scam, é um termo criado para descrever qualquer ação maliciosa que tenha como objetivo obter dados pessoais e financeiros do usuário. A técnica Phishing dá-se através do envio de mensagem não solicitada, se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas falsificadas, projetadas para furtar dados pessoais e financeiros de usuários. A palavra phishing (de “fishing”) vem de uma analogia criada pelos fraudadores, onde “iscas” (e-mails) são usadas para “pescar” senhas, dados pessoais e financeiros de usuários da Internet. Exemplos de Ameaças e ataques Phishing Atualmente, este termo vem sendo utilizado também para se referir aos seguintes casos: • Mensagem que procura induzir o usuário à instalação de códigos maliciosos, projetado para obter dados pessoais e financeiros (ex: Spyware, Keyloggers); • Mensagem que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários. Exemplos de Ameaças e ataques Pharming O Pharming é uma técnica que utiliza o sequestro ou a “contaminação” do DNS (Domain Name System) para levar os usuários a um site falso, alterando o DNS do site de destino. O sistema também pode redirecionar os usuários para sites autênticos através de proxies controlados pelos Phishers, que podem ser usados para monitorar e interceptar a digitação. Os sites falsificados coletam números de cartões de crédito, nomes de contas, senhas e números de documentos. Isso é feito através da exibição de um Pop-up para roubar a informação antes de levar o usuárioao site real. O programa mal-intencionado usa um certificado auto-assinado para fingir a autenticação e induzir o usuário a acreditar nele o bastante para inserir seus dados pessoais no site falsificado. Exemplos de Ameaças e ataques Pharming Outra forma de enganar o usuário é sobrepor a barra de endereço e status de navegador para induzi-lo a pensar que está no site legítimo e inserir suas informações. Os phishers utilizam truques para instalar programas criminosos nos computadores dos consumidores e roubar diretamente as informações. Na maioria dos casos, o usuário não sabe que está infectado, percebendo apenas uma ligeira redução na velocidade do computador ou falhas de funcionamento atribuídas a vulnerabilidades normais de software. Um software de segurança é uma ferramenta necessária para evitar a instalação de programas criminosos se o usuário for atingido por um ataque. Alguns veículos de divulgação descrevem Pharming como um tipo específico de Phishing. Exemplos de Ameaças e ataques Engenharia Social • Conhecido como a arte de enganar. • É uma técnica utilizada pelo atacante para obter informações pessoais de um usuário. • Existem casos onde o atacante se passa por outra pessoa ou empresa para obter estas informações. Mecanismos de segurança Criptografia A palavra criptografia origina do Grego kryptós, “escondido”, e gráphein, “escrever”, e pode ser conceituada como sendo a ciência e a arte de manter mensagens seguras (SCHNEIER, 1995). A criptografia está associada a vários aspectos da segurança da informação, tais como: privacidade ou confidencialidade, integridade dos dados, autenticação e não- repúdio (MENEZES et al., 1996). De forma resumida podemos dizer que o processo de criptografia consiste em transformar uma informação que está em texto claro (plaintext), em uma informação cifrada (ciphertext), criptografada. O processo inverso, que é o de transformar uma informação cifrada em um texto claro, não codificado é denominado decifragem (CONCEIÇÃO, 2014). Mecanismos de segurança Criptografia Mecanismos de segurança Criptografia de Chave Simétrica Esse sistema de criptografia possui basicamente cinco elementos: •Texto claro: que é a mensagem original; •Algoritmo de cifragem: é o algoritmo que o responsável por realizar as transformações no texto claro em texto cifrado; •A chave secreta: é uma chave compartilhada entre o emissor da mensagem e o receptor, que deverá ser utilizada como entrada para o algoritmo de cifragem ou criptografia para cifrar uma mensagem; •Texto cifrado: é a mensagem em que foi aplicada o algoritmo criptográfico; •Algoritmo de decifragem: é o mesmo algoritmo de criptografia só que executado de forma inversa, utilizado para transformar o texto cifrado novamente em texto claro. Mecanismos de segurança Criptografia de Chave Simétrica Processo do Sistema Criptografia de Chave Simétrica Mecanismos de segurança Criptografia de Chave Simétrica São exemplos de algoritmos de criptografia de chave simétrica: •AES(Advanced Encryption Standard); •Advanced Encryption Standard. Padrão de Criptografia com chaves de 128, 192 e 256 bits. Esse padrão de criptografia simétrico foi desenvolvido para substituir o padrão DES anterior. O NIST (National Institute of Standards and Technologies) desenvolveu esse padrão. •BlowFish; •O Blowfish é um algoritmo criptográfico que pode ser utilizado como um substituto para o DES ou IDEA. É um algoritmo simétrico (cuja mensagem pode ser decodificada, ao contrário do hash) com uma chave variável entre 32 e 448bit. Ele foi projetado em 1993 por Bruce Schneier. Mecanismos de segurança Criptografia de Chave Simétrica São exemplos de algoritmos de criptografia de chave simétrica: •Triple-DES; •O TRIPLE-DES é uma variação do algoritmo DES (Data Encryption Standard), utilizado em três ciframentos sucessivos - pode empregar uma versão com duas ou com três chaves diferentes. Seu tamanho de chave é de 112 ou 168 bits. •DES (Data Encryption Standard). •Data Encryption Standard. Algoritmo Simétrico de criptografia. Para criptografar e descriptografar, uma mesma chave é usada. Assim, cada estação precisa saber essa chave para realizar a operação (criptografia/descriptografia). DES utiliza uma chave de 56bits. Mecanismos de segurança Criptografia de Chave Simétrica Exemplos https://www.infoencrypt.com/ http://extranet.cryptomathic.com/aescalc/index https://www.infoencrypt.com/ http://extranet.cryptomathic.com/aescalc/index Mecanismos de segurança Criptografia de Chave Assimétrica A criptografia de Chave Assimétrica ou de chave pública é aquela que utiliza um par de chaves uma pública e outra privada que são relacionadas matematicamente e utilizadas no processo ciframento e deciframento das mensagens (STALLINGS, 2008). Quando utilizamos essa técnica, todos os participantes têm acesso a chave pública porém as chaves privadas devem ser de conhecimento apenas do seu proprietário, devendo permanecer protegida e secreta(STALLINGS, 2008). Mecanismos de segurança Criptografia de Chave Assimétrica Mecanismos de segurança Criptografia de Chave Assimétrica A criptografia assimétrica ou de chave pública pode ser utilizada tanto para prover a confidencialidade como para possibilitar a autenticidade da mensagem (CONCEIÇÃO, 2014). Logo, quando usada para prover a confidencialidade dos dados, a mensagem é criptografada com a chave pública do receptor e só pode ser decifrada com a chave privada do destinatário. Exemplo: http://travistidwell.com/jsencrypt/demo/ http://travistidwell.com/jsencrypt/demo/ Mecanismos de segurança Funções de Hash Uma função de hash é aquela que ao ser aplicada a uma mensagem de comprimento variável, produz como saída um valor hash, de tamanho fixo também chamado de resumo de mensagem (SCHNEIER,1995). O hash é amplamente utilizado em aplicações criptográficas, tais como: assinaturas digitais, esquemas de proteção de senha e autenticação de mensagens (CONCEIÇÃO, 2014). Mecanismos de segurança Funções de Hash Vários algoritmos de hash foram desenvolvidos ao logo dos anos. Como exemplo podem ser citados os algoritmos de resumo criptográfico ou MD(Message Digest), desenvolvidos por Ron Rivest, e cuja a última versão foi o MD5. Outro exemplo, que merece destaque, são os algoritmos de hash seguro (SHA - Secure Hash Algorithm). Eles foram desenvolvidos como alternativa a insegurança dos algoritmos MD(Message Digest). OBS: O SHA é um padrão desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST- National Institute of Standards and Technology). Atualmente, o SHA, encontra-se na versão 3,(SHA-3). Exemplo: http://onlinemd5.com/ http://onlinemd5.com/ Mecanismos de segurança Assinatura Digital A assinatura digital é um mecanismo de autenticação que permite que o criador de uma mensagem possa anexar um código que atue como assinatura e garanta origem e integridade da mensagem (STALLINGS, 2008). As assinaturas digitais podem ser geradas tanto por sistemas criptográficos assimétricos, usualmente os mais empregados, quanto simétricos (CONCEIÇÃO, 2014). Mecanismos de segurança Assinatura Digital – Processo de Criptografia Assimétrica No caso da geração da assinatura digital com sistemas criptográficos assimétricos, o processo ocorre da seguinte maneira: a mensagem é cifrada com a chave privada do remetente, de forma que qualquer pessoa que possua a chave pública do remetente possa verificar a autenticidade da mensagem. Um ponto chave no processo de assinatura digital que deve ser mencionado é que a utilização do processo de criptografia assimétrica é lento quando comparado ao processo de criptografia simétrica, apesar de ser mais seguro. Mecanismos de segurança Assinatura Digital – Processo combinado usando criptografia assimétrica com a função de hash Mecanismos de segurança Certificados Digitais Um certificado digital é um documento eletrônico que possui informações que comprovam a identidadedo seu emissor. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, denominada Autoridade Certificadora (CA). Uma CA é responsável por associar uma chave pública a uma entidade (pessoa, processo, servidor e etc.) (FOROUZAN; MOSHARRAF, 2013). Podemos dizer que uma das finalidades de um certificado digital é o de garantir que a chave pública contida no certificado pertence à entidade à qual ele foi emitido, possibilitando assim, a identificação inequívoca das partes envolvidas em uma comunicação. Dúvidas?
Compartilhar