Post on 03-Jun-2018
8/12/2019 Segurana da Informao - Sistemas
1/71
Segurana da
InformaoAIRTON BORDIN JUNIOR
8/12/2019 Segurana da Informao - Sistemas
2/71
Ementa da disciplina
Introduo; Conceitos;
Ameaas, Vulnerabilidades, Riscos, Ataques;
Normas NBR ISO/IEC 17799 e 27002;
Fundamentos de criptografia;
Autenticao; Controles de Acesso;
Auditoria;
Rede Privada Virtual VPN;
Polticas de Segurana.
8/12/2019 Segurana da Informao - Sistemas
3/71
Bibliografia bsica
MAZIERO, C. A. Sistemas Operacionais: Conceitos mecanismos. Aspectos de Segurana;
CARVALHO, L. G. Segurana de Redes;
FERREIRA, F. N. F., ARAUJO, M. T. Poltica dsegurana da Informao. Guia prtico par
elaborao e implementao; ASSOCIAO BRASILEIRA DE NORMAS TCNICAS
ABNT NBR ISO/IEC 27002:2006. Tecnologia dInformao Cdigo de Prticas para Gesto dSegurana da Informao
8/12/2019 Segurana da Informao - Sistemas
4/71
Introduo
8/12/2019 Segurana da Informao - Sistemas
5/71
Introduo
Segurana de um sistema de computao
Garantia de propriedades fundamentaassociadas s informaes e recursos presentes nsistema.
Informao: todos os recursos disponveis nsistema, como registros de bancos de dadoarquivos, reas de memria, portas dentrada/sada, conexes de rede, configuraeetc.
8/12/2019 Segurana da Informao - Sistemas
6/71
Introduo
Propriedades e princpios de segurana
Confidencialidade;
Integridade;
Disponibilidade;
Autenticidade;
Irretratabilidade.
8/12/2019 Segurana da Informao - Sistemas
7/71
Introduo
funo do Sistema Operacional garantir manuteno das propriedades de segurana partodos os recursos sob sua responsabilidade;
Alm das tcnicas usuais de Engenharia de Softwarpara a produo de sistemas corretos, a constru
de sistemas seguros pautada por uma srie dprincpios.
8/12/2019 Segurana da Informao - Sistemas
8/71
Conceitos bsicos
8/12/2019 Segurana da Informao - Sistemas
9/71
Princpios para a construo desistemas seguros
Privilgio mnimo; Mediao completa;
Default seguro;
Economia de mecanismo;
Separao de privilgios;
Compartilhamento mnimo;
Projeto aberto;
Proteo adequada;
Facilidade de uso;
Eficincia;
Elo mais fraco;
8/12/2019 Segurana da Informao - Sistemas
10/71
Ameaas
Ameaas confidencialidade Processo vasculhar reas de memrias de outros processo
arquivos de outros usurios, trfego de rede nas interfacelocais, senhas, emails privados, etc.
Ameaas integridade Processo alterar as senhas de outros usurios, instala
programas, driversou mdulos de ncleo maliciosos, visandobter o controle do sistema, roubar informaes, impedacesso de outros usurios.
Ameaas disponibilidade Usurio alocar para si todos os recursos do sistema par
impedir que outros usurios possam utiliz-lo.
8/12/2019 Segurana da Informao - Sistemas
11/71
Vulnerabilidades
Defeito ou problema na especificaoimplementao, configurao ou operao de umsoftware ou sistema que possa ser explorado parviolar as propriedades de segurana.
Erro de programao
Buffer/stack overflow. Conta de usurio sem senha ou com senha padro;
Ausncia de quotas de disco;
Etc.
8/12/2019 Segurana da Informao - Sistemas
12/71
Buffer overflow
8/12/2019 Segurana da Informao - Sistemas
13/71
Ataques
Ato de utilizar/explorar umavulnerabilidade para violar umapropriedade de segurana do sistema Interrupo;
Interceptao;Modificao;
Fabricao.
Os ataques podem ser ativos ou passivos.
8/12/2019 Segurana da Informao - Sistemas
14/71
Ataques
8/12/2019 Segurana da Informao - Sistemas
15/71
Ataques
DoS Denial of Service; Fork Bomb:
8/12/2019 Segurana da Informao - Sistemas
16/71
Malwares
Todo programa cuja inteno realizar atividades ilcitas, comataques, roubo de informaes, intruses, etc.
Vrus;
Worm;
Trojan horse;
Exploit;
Packet Sniffer;
Keylogger;
Rootkit;
Backdoor.
8/12/2019 Segurana da Informao - Sistemas
17/71
Malwares - Vrus
Trecho de cdigo que se infiltra em programaexecutveis existentes no Sistema Operacional, usandoos como suporte para execuo e replicao;
O vrus depende da execuo do arquivo hospedeirpara que possa se tornar ativo e continuar o processde infeco;
Alguns tipos de vrus so programados utilizando macrode aplicaes complexas, e usam os arquivos de dadodessas aplicaes como suporte. Outros usam cdigde inicializao dos discos e outras mdias comsuporte.
8/12/2019 Segurana da Informao - Sistemas
18/71
Malwares - Worm
Programa autnomo que se propaga seminfectar outros programas;
A maioria dos worms se propaga explorandvulnerabilidades nos servios de rede parinstalar-se em sistemas remotos;
Alguns worms utilizam o sistema de email comvetor de propagao, enquanto outros utilizammecanismos de auto-execuo de mdiaremovveis (pendrives).
8/12/2019 Segurana da Informao - Sistemas
19/71
Malwares - Worm
8/12/2019 Segurana da Informao - Sistemas
20/71
Malwares Trojan Horse
Programa com duas funcionalidades: Uma lcite conhecida, outra ilcita e desconhecida que executada sem que o usurio perceba;
Muitos Trojan Horses so utilizados como baspara a instalao de outros malwares, como worm happy99.
8/12/2019 Segurana da Informao - Sistemas
21/71
Malwares - Exploit
Programa escrito para exploravulnerabilidades conhecidas, como provade conceito ou como parte de umataque;
Exploits podem estar incorporados aoutros malwares ou constituremferramentas autnomas, usadas emataques manuais.
8/12/2019 Segurana da Informao - Sistemas
22/71
Malwares Packet Sniffer
Captura pacotes de rede do computadolocal ou da rede local, analisa e buscainformaes relevantes como loginssenhas, etc;
8/12/2019 Segurana da Informao - Sistemas
23/71
Malwares Keylogger
Dedicado a capturar e analisainformaes digitadas pelo usuriolocal do computador, sem seuconhecimento;
As informaes podem setransferidas a um computadoremoto de acordo com necessidadee possibilidade.
8/12/2019 Segurana da Informao - Sistemas
24/71
Malwares Rootkit
Conjunto de programas destinado aocultar a presena de um intruso noSistema Operacional;
Modifica os mecanismos do SistemaOperacional que mostram oprocessos em execuo, arquivonos discos, portas e conexes, etc.
8/12/2019 Segurana da Informao - Sistemas
25/71
Malwares Backdoor
Programa que facilita a entradaposterior do atacante em um sistema
j invadido;
Geralmente criado atravs de umprocesso servidor de conexeremotas (SSH, Telnet, etc).
8/12/2019 Segurana da Informao - Sistemas
26/71
Infraestrutura de segurana
Base Computacional: conjunto de todos oelementos de hardware e softwarconsiderados crticos para a segurana de umsistema;
Sistema Operacional emprega vrias tcnica
complementares para garantir a segurana: Autenticao;
Controle de acesso;
Auditoria.
8/12/2019 Segurana da Informao - Sistemas
27/71
Infraestrutura de segurana
8/12/2019 Segurana da Informao - Sistemas
28/71
POSIO SENHA1 123456
2 PASSWORD
3 12345678
4 QWERTY
5 ABC123
6 123456789
7 1111118 1234567
9 ILOVEYOU
10 ADOBE123
11 123123
12 ADMIN
Autenticao - Senhas mais comun
8/12/2019 Segurana da Informao - Sistemas
29/71
Controle de acesso
Polticas de controle de acesso aos sistemas; Diferentes tipos de usurios com diferentes permisses.
8/12/2019 Segurana da Informao - Sistemas
30/71
Auditoria
Anlise dos dados e transaes do sistema e usurios; Realizada aps uma determinada transao;
Alguns sistemas j so construdos com sistemas de logs pafacilitar a auditoria.
8/12/2019 Segurana da Informao - Sistemas
31/71
Fundamentos de
Criptografia
8/12/2019 Segurana da Informao - Sistemas
32/71
Criptografia
Usadas na segurana de sistemas para garanta CONFIDENCIALIDADE e INTEGRIDADE dodados;
Desempenham papel importante na autenticao dusurios e recursos;
Kryptos (oculto, secreto) + grafos (escrever); Foi criada para codificar informaes, de forma qu
somente pessoas autorizadas pudessem acessar secontedo.
8/12/2019 Segurana da Informao - Sistemas
33/71
Criptografia
Conceitos fundamentais:Texto aberto: mensagem o
informao a ocultar;Texto cifrado: informao codificada
Cifrador: mecanismo responsvel pocifrar/decifrar as informaes;Chaves: so necessrias para pode
cifrar ou decifrar as informaes.
8/12/2019 Segurana da Informao - Sistemas
34/71
Criptografia - Scytale
Esparta, 400 a.C.
8/12/2019 Segurana da Informao - Sistemas
35/71
Criptografia Cifrador de Cesar
Cifrador de Cesar Usado pelo imperador Jlio Csar para se comunicar com se
generais;
Cada caractere substitudo pelo k-simo caractere sucessivo nalfabeto;
Exemplo: Se k=2, a letra A substituda por C.
8/12/2019 Segurana da Informao - Sistemas
36/71
Criptografia Cifrador de Cesar
Para decifrar uma mensagem no cifrador dCsar, necessrio conhecer:
A mensagem cifrada;
O valor de k (chave criptogrfica).
Nesse caso, se o usurio no conhecer o valode k, pode tentar quebrar a criptografiusando FORA BRUTA Nesse caso h soment26 valores possveis para k.
8/12/2019 Segurana da Informao - Sistemas
37/71
Criptografia
O nmero de chaves possveis para um algoritmo de cifragem conhecido como ESPAO DE CHAVES;
O segredo no est no algoritmo e sim no tamanho do espao dchaves;
Exemplo: Algoritmo AES (Advanced Encryption Standart). Algoritmsimples, mas tamanho de chaves com muitas possibilidades:
2^128possibilidades de chaves; 340.282.366.920.938.463.463.374.607.431.768.211.456chaves diferentes
Com 1 bilho de anlises de chaves por segundo, levariam 1sextilhes de anos para testar todas as chaves;
Caso Daniel Dantas Criptografia AES de 256 bits.
8/12/2019 Segurana da Informao - Sistemas
38/71
C i t fi
8/12/2019 Segurana da Informao - Sistemas
39/71
Criptografia
De acordo com a chaveutilizada, os algoritmos decriptografia podem se dividir em
dois grandes grupos:Algoritmos simtricos;
Algoritmos assimtricos.
Al it i t i
8/12/2019 Segurana da Informao - Sistemas
40/71
Algoritmos simtricos
A mesma chave k utilizada para cifrar a informao deve ser usadpara decifrar a mesma.
Cifrador de C DES; AES; etc.
8/12/2019 Segurana da Informao - Sistemas
41/71
Al it i t i
8/12/2019 Segurana da Informao - Sistemas
42/71
Algoritmos assimtricos
Usam um par de chaves complementares: Chave pblica (kp);
Chave privada (kv).
Uma informao cifrada com uma chave pblica s poder sdecifrada com uma chave privada correspondente, e vice-versa;
Para cada chave pblica h uma chave privada correspondent
e vice-versa; No possvel calcular uma das chaves a partir da outra;
Geralmente, chaves pblicas so amplamente conhecidas divulgadas, enquanto as chaves privadas so mantidas esegredo pelos proprietrios.
Al it i t i
8/12/2019 Segurana da Informao - Sistemas
43/71
Algoritmos assimtricos
8/12/2019 Segurana da Informao - Sistemas
44/71
8/12/2019 Segurana da Informao - Sistemas
45/71
Autenticao
8/12/2019 Segurana da Informao - Sistemas
46/71
Autenticao
Consiste em identificar as diversas entidades de um sistemcomputacional;
Atravs da autenticao, o usurio interessado em acessar sistema comprova que realmente quem afirma ser;
Inicialmente a autenticao buscava apenas identificar usuriodevidamente credenciados para acessar o sistema;
Atualmente, em muitas circunstncias, tambm necessrio oposto: Identificar um sistema para o usurio, ou mesmo sistemaentre si:
Banco via Internet, certificado;
Drivers, fonte confivel.
Usurios e grupos
8/12/2019 Segurana da Informao - Sistemas
47/71
Usurios e grupos
A autenticao geralmente o primeiro passo no acesso de usistema;
Caso a autenticao do usurio seja realizada com sucesso, scriados processos para representar o mesmo no sistema: sesso dusurio;
Cada processo deve ser associado ao seu respectivo usuratravs de um Identificador de Usurio (UID User IDentifier);
Cada grupo identificado atravs de um Identificador de grupo(GID Group IDentifier).
Tcnicas de autenticao
8/12/2019 Segurana da Informao - Sistemas
48/71
Tcnicas de autenticao
SYK Something You Know (Algo que voc sabe)
Tcnicas baseadas em informaes conhecidas pelo usurio, como loginsenha. So consideradas fracas, pois a informao necessria paautenticao pode ser facilmente comunicada ou roubada.
SYH Something You Have (Algo que voc tem)
Tcnicas baseadas na posse de alguma informao mais complexa, comum certificado digital, chave criptogrfica, ou algum dispositivo materia
como umsmartcard, carto magntico, etc. Embora mais robustas que tcnicas SYK, tambm podem ser roubados e copiados;
SYA Something You Are (Algo que voc )
Baseiam-se em caractersticas intrinsicamente associadas ao usurio, comseus dados biomtricos: impresso digital, padro de riz, voz, etc.
Senhas
8/12/2019 Segurana da Informao - Sistemas
49/71
Senhas
A grande maioria dos sistemas implementam a tcnica dautenticao SYK baseada em login e senha;
8/12/2019 Segurana da Informao - Sistemas
50/71
8/12/2019 Segurana da Informao - Sistemas
51/71
Senhas
8/12/2019 Segurana da Informao - Sistemas
52/71
Senhas
Senhas descartveis
8/12/2019 Segurana da Informao - Sistemas
53/71
Senhas descartveis
Um problema importante com relao a autenticao utilizandsenhas est no risco de roubo da mesma;
Por ser uma informao esttica, caso seja roubada, um usurmal intencionado poder us-la enquanto o roubo no fpercebido. Para evitar isso, so utilizadas senhas descartveis. Podser produzida de algumas formas:
Armazenar uma lista de senhas no sistema e fornecer ao usurio e
papel ou outro material. Quando uma senha for usada com sucesso,usurio e o sistema eliminam da lista;
Gerar senhas temporrias sob demanda atravs de dispositivo osoftware externo usado pelo cliente.
Senhas descartveis
8/12/2019 Segurana da Informao - Sistemas
54/71
Senhas descartveis
Tcnicas biomtricas
8/12/2019 Segurana da Informao - Sistemas
55/71
Tcnicas biomtricas
Consiste em usar caractersticas fsicas ou comportamentais de uindivduo, como suas impresses digitais ou timbre de voz, paridentifica-lo UNICAMENTE no sistema;
As caractersticas utilizadas devem obedecer a um conjunto dprincpios:
Universalidade: deve estar presente em todos os indivduos que possavir a ser autenticados;
Singularidade: dois indivduos quaisquer devem apresentar valordistintos para a caractersticas;
Permanncia: a caracterstica no deve mudar ao longo do tempo, amenos no de forma abrupta;
Mensurabilidade: deve ser facilmente mensurvel em termquantitativos.
Tcnicas biomtricas
8/12/2019 Segurana da Informao - Sistemas
56/71
Tcnicas biomtricas
As caractersticas podem ser: fsicas ou comportamentais;
Fsicas:
DNA;
Geometria das mos/rosto/orelhas;
Impresses digitais;
Padro da ris/retina.
Comportamentais:
Assinatura;
Padro de voz;
Dinmica de digitao.
Tcnicas biomtricas
8/12/2019 Segurana da Informao - Sistemas
57/71
Tcnicas biomtricas
Sistema biomtrico tpico
8/12/2019 Segurana da Informao - Sistemas
58/71
Sistema biomtrico tpico
8/12/2019 Segurana da Informao - Sistemas
59/71
Controle de
acesso
Controle de acesso
8/12/2019 Segurana da Informao - Sistemas
60/71
Controle de acesso
Em um sistema computacional, consiste em mediar cadsolicitao de acesso de um usurio autenticado a um recurso odado mantido pelo sistema;
Determina se uma solicitao deve ser autorizada ou negada.
Praticamente todos os recursos de um sistema operacional estsubmetidos a um controle de acesso
Arquivos;
reas de memria;
Portas de rede;
Dispositivos de I/O;
Etc.
Controle de acesso
8/12/2019 Segurana da Informao - Sistemas
61/71
Co o e de acesso
comum classificar as entidades de um sistema em 2 grupos:
Sujeitos;
Objetos.
Sujeitos
Todas as entidades que exercem um papel ativo no sistema, comprocessos, threads ou transaes.
Objetos Entidades passivas utilizadas pelos sujeitos, como arquivos, reas d
memria, registro em banco de dados.
Polticas, modelos e mecanismos
8/12/2019 Segurana da Informao - Sistemas
62/71
,
Poltica de controle de acesso:
Viso abstrata das possibilidades de acesso a recursos (objetos) pelusurios (sujeitos) de um sistema;
Conjunto de regras definindo os acessos possveis aos recursos dsistema e eventuais condies para a permisso de acesso;
Polticas, modelos e mecanismos
8/12/2019 Segurana da Informao - Sistemas
63/71
,
As regras ou definies individuais de uma poltica sdenominadas AUTORIZAES; As autorizaes podem ser baseadas em IDENTIDADES (sujeitos o
objetos) e em outros ATRIBUTOS (sexo, tipo, preo, idade);
As autorizaes podem ser INDIVIDUAIS ou COLETIVAS;
Podem ser tambm POSITIVAS (permitindo o acesso) e NEGATIVAS;
Pode ter autorizaes dependentes de CONDIES EXTERNAS (tempcarga do sistema).
Alm disso, deve ser definida uma POLTICA ADMINISTRATIVA, qudefine quem pode modificar e/ou gerenciar as polticas vigenteno sistema.
Polticas, modelos e mecanismos
8/12/2019 Segurana da Informao - Sistemas
64/71
O conjunto de autorizaes de uma poltica devem:
Ser completos;
Ser consistentes;
Respeitar o princpio de privilgio mnimo
Usurio jamais deve receber mais autorizaes do que aquelas qnecessita para cumprir sua tarefa.
Existem algumas formas para definir-se uma poltica: Polticas discricionrias;
Polticas obrigatrias;
Polticas baseadas em domnios;
Polticas baseadas em papis.
Polticas discricionrias
8/12/2019 Segurana da Informao - Sistemas
65/71
Baseiam-se na atribuio de permisses de forma individualizada;
Pode-se claramente conceder ou negar a um sujeito especfico Sa permisso de executar a ao A sobre um objeto especficO;
Polticas discricionrias - Matriz de
8/12/2019 Segurana da Informao - Sistemas
66/71
controle de acesso
Controle matemtico mais simples e convenientpara representar polticas discriminatrias
Embora seja um bom modelo conceitual, a matrde acesso inadequada para implementao;
Em um sistema real, com milhares de usurios
objetos, a matriz pode se tornar gigantesca consumir muito espao
Polticas discricionrias - Matriz de
8/12/2019 Segurana da Informao - Sistemas
67/71
controle de acesso Controle matemtico mais simples e convenient
para representar polticas discriminatrias
Embora seja um bom modelo conceitual, a matrde acesso inadequada para implementao;
Em um sistema real, com milhares de usurios
objetos, a matriz pode se tornar gigantesca consumir muito espao
Polticas discricionrias - Tabela de
8/12/2019 Segurana da Informao - Sistemas
68/71
autorizaes As entradas no-vazias da matriz so relacionadas em uma tabe
com trs colunas: sujeitos;
objetos;
aes.
Polticas discricionrias - Tabela de
8/12/2019 Segurana da Informao - Sistemas
69/71
autorizaes As entradas no-vazias da matriz so relacionadas em uma tabe
com trs colunas: sujeitos;
objetos;
aes.
Polticas discricionrias Lista de
8/12/2019 Segurana da Informao - Sistemas
70/71
controles de acesso Para cada objeto definida uma lista de controle de acesso (ACL
Contm a relao de sujeitos e respectivas permisses.
Polticas obrigatrias
8/12/2019 Segurana da Informao - Sistemas
71/71
O controle de acesso definido por regras globais incontornve
que no dependem das identidades dos sujeitos e objetos nem dvontade de seus proprietrios ou mesmo do administrador dsistema;
Umas das formas mais comuns de poltica obrigatria so apolticas multi-nvel, que baseiam-se na classificao de sujeitos objetos em nveis de segurana. Exemplo governo britnico: