História e Conceitos de Segurança da Informação

Prévia do material em texto

Segurança
Durante a Guerra Fria, vários computadores foram dispostos a operar on-line para realizar tarefas sofisticadas, como por exemplo o IBM 701 (conhecido como Calculadora da Defesa), que interligava centrais de defesa aérea continental a bunkers terrestres, nos EUA.
Larry Roberts, conhecido como o fundador da Internet, concebeu e desenvolveu o projeto, que foi chamado de ARPANET. De certa forma, pode-se dizer que a ARPANET é a predecessora da internet.
Problemas dequitados na ARPANET
 
Vulnerabilidade de estrutura e formatos de senha;
 Ausência de procedimentos de segurança para conexões discadas;
 Identificação inexistente de usuário e autorização para o sistema.
O movimento em direção à segurança que alcançou resultados além da proteção de locais físicos começou com um único relatório patrocinado pelo Departamento de Defesa Norte-Americano, que tentou definir os múltiplos controles e mecanismos necessários à proteção de um sistema de computador multinível. O documento foi sigiloso por quase dez anos e agora é considerado o início do estudo da segurança informática.
A força-tarefa foi montada em outubro de 1967 e se reuniu regularmente para formular recomendações, que acabaram se tornando o conteúdo do Relatório Rand R-609. Esse relatório foi o primeiro documento publicado amplamente reconhecido a identificar o papel das questões de gestão e política na segurança informática. 
o sistema MULTICS implementou múltiplos níveis e senhas, o sistema UNIX não o fez. Sua função principal, processamento de texto, não exigia o mesmo nível de segurança que o de seu predecessor. Na verdade, só no início dos anos 1970 o componente mais simples de segurança, a função de senha, tornou-se um componente do UNIX.
Ao final dos anos 1970, o microprocessador trouxe o computador pessoal a uma nova era de computação. O PC tornou-se o cavalo de batalha da computação moderna, tirando-a da função de centro de dados. Essa descentralização dos sistemas de processamento de dados nos anos 1980 deu origem à interconexão em rede, ou seja, a interconexão de computadores pessoais e computadores servidores, o que permitiu que a comunidade global de computação fizesse todos os seus recursos funcionarem juntos.
Conforme deixa claro o autor Edison Fontes ao longo de seu livro Segurança da informação: o usuário faz a diferença, de 2006, segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que têm por objetivo proteger a informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada.
ACESSO
Usuários autorizados têm acesso legal a um sistema; hackers, não. Controles de acesso regulam essa habilidade.
ATIVO
É o recurso organizacional que está sendo protegido. Um ativo pode ser físico, como um computador, ou objeto tangível ou lógico, como informações e dados. Ativos de informação são o foco dos esforços de segurança, ou seja, esforços que estão tentando proteger.
ATAQUE
Um ato intencional ou não intencional que pode causar danos ou comprometer informações e/ou os sistemas que o suportam. Os ataques podem ser ativos ou passivos, intencionais ou não intencionais, e diretos ou indiretos. A situação de alguém lendo casualmente informações não destinadas ao seu uso configura um ataque passivo. Um hacker tentando invadir um sistema de informação, por sua vez, diz respeito a um ataque intencional. Um relâmpago que causa um fogo em um prédio é um ataque não intencional. Em outro exemplo, um ataque direto é um hacker usando um computador para invadir um sistema; um ataque indireto é um hacker comprometer um sistema e usá-lo para invadir outros sistemas, por exemplo, como parte de uma botnet (gíria para “rede de robôs”). Este grupo de computadores comprometidos, executando software de escolha do atacante, pode operar de forma autônoma ou sob o controle direto do atacante para atacar sistemas e roubar informações do usuário ou realizar ataques distribuídos de negação de serviço. Ataques diretos se originam da ameaça em si. Os ataques indiretos se originam de um sistema comprometido ou recurso que está funcionando mal ou está sob o controle de uma ameaça.
CONTROLE, SALVAGUARDA OU CONTRAMEDIDA
Mecanismos, políticas ou procedimentos de segurança que podem combater ataques com sucesso, reduzir riscos, resolver vulnerabilidades e outras melhorias de segurança dentro de uma organização.
EXPLOIT
Trecho de software ou sequência de comandos ou dados usados para explorar potenciais vulnerabilidades de um sistema. Agentes de ameaças podem tentar explorar um sistema ou outro ativo de informação usando-o ilegalmente para seu ganho pessoal. Um exploit também pode ser um processo documentado para tirar vantagem de uma vulnerabilidade ou exposição, geralmente em software, que é inerente ao software ou é criado pelo atacante. Exploits fazem uso de ferramentas de software existentes ou componentes de software personalizados.
EXPOSIÇÃO
Uma condição ou estado de exposição. Em segurança da informação, a exposição existe quando uma vulnerabilidade conhecida de um invasor está presente.
PERDA
Uma única instância de um ativo de informação que sofreu danos ou modificação, ou ainda divulgação não autorizada. Quando as informações de uma organização são roubadas, há uma perda.
PERFIL DE PROTEÇÃO OU POSTURA DE SEGURANÇA
Todo conjunto de controles e salvaguardas, incluindo política, educação, treinamento, conscientização e tecnologia que a organização implementa (ou falha em implementar) para proteger o ativo. Às vezes, os termos são usados de forma intercambiável com o termo “programa de segurança”, embora esse programa geralmente inclua aspectos gerenciais de segurança, incluindo planejamento pessoal e programas subordinados.
RISCO
É a probabilidade de algo indesejado acontecer. As organizações devem minimizar o risco para corresponder à quantidade e à natureza do risco que estão dispostas a aceitar.
ATACANTES E ALVOS
Um computador pode ser o autor de um ataque, um agente usado para conduzir o ataque ou o alvo de um ataque. Um computador pode ser atacante e alvo de um ataque, quando, por exemplo, ele é comprometido por um ataque (alvo) e é usado para atacar outros sistemas (atacantes).
AMEAÇA
Risco ou possível perigo de que uma situação, objeto ou determinada circunstância possa levar para sua própria vida ou de terceiros. Ameaças estão sempre presentes e podem ser intencionais ou não direcionadas. Por exemplo, hackers intencionalmente ameaçam sistemas de informação desprotegidos, enquanto tempestades severas incidentalmente ameaçam edifícios e seu conteúdo.
AGENTE DE AMEAÇA
É a instância específica ou um componente de uma ameaça. Por exemplo, todos os hackers no mundo apresentam uma ameaça coletiva, enquanto Kevin Mitnick, que foi condenado por invadir sistemas de telefonia, é um agente de ameaça específica. Da mesma forma, um relâmpago, granizo, ou tornado é um agente de ameaça que faz parte da ameaça de tempestades severas.
VULNERABILIDADE
Deficiências ou falhas em um sistema ou mecanismo de proteção que o tornam vulnerável a ataques ou danos. Alguns exemplos de vulnerabilidades são uma falha em um pacote de software, uma porta do sistema desprotegida e uma porta destrancada. Algumas vulnerabilidades conhecidas foram examinadas, documentadas e publicadas, outras permanecem latentes ou não descobertas.
Autenticação
“medida de segurança destinada a estabelecer a validade de uma transmissão, uma mensagem, originador ou um meio de verificar um indivíduo autorizado a receber categorias específicas de informação”.
A autenticação também se aplica à validação da origem de uma mensagem, como um pacote de rede ou e-mail. Em um nível baixo, a autenticação de sistemas de mensagens não pode confiar nos mesmos fatores que se aplicam à autenticação. Sistemas de autenticação de mensagens geralmente dependem de criptografia de assinaturas, que consistem em um resumo ou hash da mensagem, gerados com uma chave secreta. Como apenas uma pessoa tem acesso à chave que gera a assinatura, o destinatárioé capaz de validar o remetente de uma mensagem.
Autorização
Depois que um sistema seguro autentica usuários, ele também deve decidir privilégios que eles possuem. Por exemplo, um aplicativo bancário on-line autentica um usuário com base em suas credenciais, mas deve então determinar as contas às quais esse usuário tem acesso. Além disso, o sistema determina quais ações o usuário pode realizar em relação àquelas contas, como exibir saldos e fazer transferências.
Não Repudio 
“garantia de que o remetente dos dados tem prova de que o fez e o destinatário tem prova da identidade do remetente para que, mais tarde, nenhum dos dois possa negar que tenham processado os dados”.
No mundo das comunicações digitais, nenhum cartório pode carimbar cada mensagem transmitida, mas o não repúdio é ainda necessário. Para encontrar este requisito, sistemas seguros normalmente dependem de criptografia assimétrica (ou chave pública). Enquanto os sistemas de chave simétrica usam uma chave única para criptografar e descriptografar os dados, os sistemas assimétricos usam um par de chaves.
Confidencialidade
“garantia de que as informações não são divulgadas a indivíduos, processos ou dispositivos não autorizados”. Primeiramente, a informação deve ter proteções capazes de impedir alguns usuários de acessá-lo. Em segundo lugar, limitações devem estar em vigor para restringir o acesso à informação apenas a quem tenha autorização para visualizá-la. Em terceiro lugar, um sistema de autenticação deve estar presente para verificar a identidade daqueles que tenham acesso aos dados.
Integridade 
ntegridade” normalmente se refere à integridade dos dados, ou à garantia de que os dados armazenados sejam precisos e não contenham modificações não autorizadas
Esse princípio, que depende da autenticação, autorização e não repúdio como chaves para manter a integridade, impede que usuários sem autorização modifiquem dados. Ao ignorar um sistema de autenticação ou aumentar os privilégios, além daqueles normalmente concedidos a ele, um invasor pode ameaçar a integridade dos dados. 
Disponibilidade
Os ataques à disponibilidade são um pouco diferentes daqueles feitos à integridade e confidencialidade. O ataque mais conhecido que impacta o princípio da disponibilidade é um ataque de negação de serviço (DoS). Um ataque DoS pode acontecer de várias formas, pelo esgotamento de recursos pelo qual um invasor sobrecarrega um sistema a ponto de não responder a mais nenhum pedido de pacote. A compreensão exata dos componentes da tríade CID e os conceitos por trás do objetivo de proteger tais princípios são importantes para que se realize de forma profissional a segurança da informação. Cada componente age como um pilar que sustenta a segurança de um sistema. Se um atacante violar qualquer um dos pilares, a segurança do sistema cairá. Autenticação, autorização e não repúdio são requisitos que os projetistas de sistemas devem observar para manter esses pilares. Entender como todos esses conceitos interagem uns com os outros é ponto necessário para usá-los efetivamente.
Componentes de sistema da informação
Um sistema de informação (IS) é muito mais do que um hardware de computador: representa todo o conjunto de software, hardware, dados, pessoas, procedimentos e redes que tornam possível o uso de recursos de informação na organização. Esses seis componentes críticos permitem informações a serem inseridas, processadas, produzidas e armazenadas. Cada um desses componentes tem seus pontos fortes e fracos, bem como características e usos próprios. Cada componente do sistema de informação também tem seus próprios requisitos de segurança.
Software
O software é talvez o componente mais difícil de ser protegido. A exploração de erros na programação de software é responsável por uma parte substancial dos ataques em formação. A indústria de tecnologia da informação está repleta de relatórios alertando sobre brechas, bugs, pontos fracos ou outros problemas fundamentais no software. De fato, muitas facetas da vida cotidiana são afetadas por softwares que invadem sistemas.
Hardware
Aplicando as ferramentas tradicionais de segurança física, como bloqueios e chaves, restringe-se o acesso e a interação com os componentes de hardware de um sistema. Proteger a localização física dos computadores e dos próprios usuários é importante, pois uma violação de segurança física pode resultar em perda de informações. Infelizmente, a maioria dos sistemas de informação é construída em plataformas de hardware que não podem garantir qualquer nível de segurança da informação, se o acesso irrestrito ao hardware for possível
Dados
Os dados armazenados, processados e transmitidos por um sistema de computador devem ser protegidos e são, muitas vezes, o bem mais valioso possuído por uma organização, além de serem o principal alvo de ataques intencionais. Sistemas desenvolvidos nos últimos anos provavelmente usarão sistemas de gerenciamento de banco de dados que, se concebidos corretamente, melhoram a segurança dos dados e das aplicações. 
Redes
O componente de um sistema de informação que elevou a necessidade do uso de computadores e da segurança da informação é a rede. Quando os sistemas de informação estão conectados uns aos outros para formar redes locais (LANs), e essas LANs estão conectadas a outras redes, como a internet, novos desafios de segurança emergem rapidamente. A tecnologia física que permite funções de rede está se tornando cada vez mais acessível às organizações