Post on 11-Feb-2019
Técnico em Informática Inesul
Segurança em Redes de Computadores
Agora é tarde ...Agora é tarde ...
Bem vindos à fabrica de paranóiasBem vindos à fabrica de paranóias
Por que os Por que os atuais atuais sistemas de sistemas de tratamento tratamento da da informação informação são são inseguros?inseguros?
Isso não vai dar certo !...
Respostas:Respostas:
Modelo humano!!!modelo de Von Newmann;ainda fazemos assim ! ...evolução e disponibilidade de
recursos computacionais;somos capazes de quebrar paradigmas?
poderíamos fazer diferente?
Ingenuidade e prepotênciaIngenuidade e prepotência
todos farão bom uso;vocês nunca vãocompreender,apostamos na sua ignorância, essa tecnologia está acima da sua capacidade ...
A Arte da Guerra A Arte da Guerra -- SunSun TzuTzu
“ A arte da guerra nos ensina a não contar com a probabilidade de que o inimigo não nos venha atacar, mas contar com a nossa capacidade em defrontá-lo, na nossa certeza de termos tornado nossa posição inatacável.”
Conceitos básicosConceitos básicos
Segurança: qualidade ou estado de seguro.
Seguro:livre de riscos, perigos ou ameaças, infalível, certo, indubitável...
Em resumo: isso existe ?!Podemos não garantir, mas podemos dar um certo trabalho ...
Mas por onde eu começo?
Comece conhecendo oComece conhecendo oque você quer proteger ...que você quer proteger ...
Estados da informação:
geração e/ou percepção;
armazenada;
em transmissão.
... e de quem !!!... e de quem !!!
Mas como eu vou saber de quem? ????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Resposta: de Resposta: de todostodos
Ele não tem nacionalidade;Não tem nome;Não tem biotipo;Não tem perfil;Pode não ser ele, mas eles!Em um determinado momento pode até nem ser humano!
Serviços:Serviços:
Descreve o que se espera de um sistema seguro, o que ele deve oferecer.
ConfidencialidadeConfidencialidade::
Assegura que a informação será acessível somente a quem de direito e na forma de direito, incluindo aqui o acesso à informação do fato de que a informação existe.
Autenticidade:Autenticidade:
Assegura que a informação é realmente da fonte que declara ser.
Integridade:Integridade:
Assegura que somente partes devidamente autorizadas tenham acesso para modificar informações armazenadas ou em trânsito. Por acesso de modificação entenda: editar, mudar o estado de acesso (leitura, gravação, execução), delir, criar, retardar ou reenviar informações em trânsito.
Não repúdio:Não repúdio:
Assegura que nem o emissor nem o receptor de uma informação possam negar o fato.
Disponibilidade:Disponibilidade:
Requer que os recursos de um sistema gestor da informação estejam disponíveis às partes autorizadas quando solicitadas e na forma de direito.
Conclusão:Conclusão:
Mecanismos:Mecanismos:
Quando falamos em mecanismos, nos referimos aos recursos disponíveis e que podem ser utilizados para oferecer os serviços descritos anteriormente.
Tipos de Mecanismos:Tipos de Mecanismos:
Preventivos;
De supervisão;
De recuperação.
Mecanismos preventivos:Mecanismos preventivos:
Planejamento ambiental
Controle de acesso;Acessibilidade;Climatização;instalações elétricas;Cofres;alarmes, ...
Mecanismos preventivos:Mecanismos preventivos:
Proteção física da informaçãodispositivos dearmazenamento;Controle de acesso físico ao sistema cabeado.
Mecanismos preventivos:Mecanismos preventivos:
Proteção lógica da informação
Criptografia;Firewall;VPN;Proxy;...
Mecanismos preventivos:Mecanismos preventivos:
Capacitação de recursos humanos
qualificação e requalificação do grupo de:
desenvolvimento;Manutenção;Suporte;
qualificação dos usuários;suporte aos usuários, ...
Mecanismos de supervisão:Mecanismos de supervisão:
Avaliação constante do estado do sistema com a utilização de ferramentas de monitoração
Scanners;sistemas de gerência de redes;verificações periódicas das condições ambientais;análise de relatórios dos sistemas (logs);tudo que foge à normalidade deve ser investigado.
(busque sempre por anormalidades!)
Mecanismos de recuperação:Mecanismos de recuperação:
Plano de contingência;Backup;Site espelho;Vou ter que digitar tudo novamente?Meus correntistas não vão gotar ...
(e agora?)
Bem, mas voltando à nossa pergunta ...Bem, mas voltando à nossa pergunta ...
pare de me enrolar e diga logo por onde eu começo !
Más notícias:Más notícias:
Comece por todos os lados! Infelizmente não nos é permitido negligenciar qualquer dos aspectos da segurança.
Más notícias:Más notícias:
Data a dificuldade de fazer o que o primeiro tópico estabelece, poderíamos graduar a dificuldade de se implantar segurança no que eu considero serem os três principais pontos a serem atacados
Grau de dificuldade: (Grau de dificuldade: (22))
Segurança física:Diria que esta é a mais simples de todas porque envolve apenas e pouca interação com os usuários recursos financeiros (um bom contrato de trabalho resolve todos os problemas de rebeldia!)
Grau de dificuldade: (Grau de dificuldade: (33))
Segurança tecnológica:Neste quesito estão envolvidos: recursos financeiros, analistas, programadores, pessoal de suporte, de manutenção, enfim o pessoal que está diretamente ligado ao tratamento da informação
Grau de dificuldade: (Grau de dificuldade: (55))
USUÁRIOS:Neste quesito estão envolvidos: usuários mal treinados, usuários insatisfeitos, usuários demissionários, usuários mal intencionados, pseudo-usuários, usuários ...Manutenção da motivação e consciência acerca da segurança
Fazer o que, Fazer o que, néné??
Mas sem os usuários o nosso trabalho não teria o menor sentido!
Motivações para um ataque:Motivações para um ataque:
Prazer;Auto-afirmação;ganho não autorizado à
informação;negar responsabilidade por um
informação que o fraudador tenha realmente gerado;alegar ter recebido uma informação
de outra fonte sendo que ele mesmo tenha gerado a informação;
personificação de outra pessoa para fugir a algum tipo de responsabilidade ou também para fazer uso das prerrogativas da vítima tais como: criar informações de modo fraudulento, modificar a legitimidade de uma informação, ganhar algum tipo de acesso não autorizado, autorizar transações fraudulentas ou endossar tais transações;
ampliar direitos de acesso/uso de licenças;modificar direitos de acesso/uso de
outros;alegar ter enviado uma informação
a outro usuário mas que na realidade não o tenha feito;Usar sua banda;Usar seus recursos de
armazenamento;Vingança;
aprender quando e quais acessos são feitos a uma determinada informação, mesmo que esta informação não seja legível;fraudar uma transação de modo
que ela seja entendida como uma falha do sistema;alterar um software, normalmente
pela inserção de um código malicioso;...
Classificação dos ataques:Classificação dos ataques:
Passivos:São caracterizados pelo acesso à informação para conhecimento e/ou análise, algo típico de monitoramento de uma rede (sniffing);
Classificação dos ataques:Classificação dos ataques:
Ativos:Este tipo de ataque envolve algum tipo de modificação da informação ou a criação de uma informação falsa e pode ser subdivido em quatro categorias:
Classificação dos ataques:Classificação dos ataques:
Mascaramento (falsidade ideológica);Reutilização de uma informação
(retransmissão de um quadro ou uma mensagem);Modificação da informação;Recusa de serviço (DoS);
Ciclo de vida de sistemas seguros:Ciclo de vida de sistemas seguros:
Passo 1 – planejamento da segurança da informação (análise de riscos e da relação custo/benefício);Passo 2 – projeto, instalação e configuração dos sistemas de proteção;
Ciclo de vida de sistemas seguros:Ciclo de vida de sistemas seguros:
Passo 3- Operação de gerência dos sistemas seguros:
hardware/software,sistemas operacionais,banco de dados,aplicações,redes de comunicação...
Ciclo de vida de sistemas seguros:Ciclo de vida de sistemas seguros:
Passo 4 – Auditoria da segurança da informação. Volte ao passo 1!
Conclusões:Conclusões:
Conclusões:Conclusões:
Segurança física:Segurança física:
Instalações prediaisLocalização estratégica;Controle de acesso;Acessibilidade/layout;Climatização;Iluminação;Resistência à intempéries.
Instalações elétricasInstalações elétricas
Rede de alimentaçãoProteção contra descargas atmosféricasEstabilizaçãoSistema de fornecimento ininterrupto de energia (No-Breack)Aterramento
Controle de acesso:Controle de acesso:
Sistema de identificaçãoA identificação de usuários é feita
com base em um ou mais dos seguintes aspectos:
O que somos: baseado na identificação biométrica:
digitais;mapa facial;exame de retina;voz;...
(este assunto será detalhado adiante)
Controle de acesso:Controle de acesso:
O que portamos: chaves, carteiras de identificação, cartões magnéticos, circuitos micro-processados externos ou internos ao nosso corpo, ...O que sabemos: senhas, dados pessoais,
parte de uma informação, ...
Ex.: Caixa eletrônico de auto-atendimento:É necessário portar um cartão com tarja
magnética e saber uma ou duas senhas (fracas!)
Algumas Algumas URL´sURL´s (pra começar):(pra começar):
http://www.cert.orghttp://www.cert.brhttp://www.modulo.com.brhttp://www.infoguerra.com.br/index.php3http://www.sans.org/http://www.rnp.br/cais/http://www.security.unicamp.br/http://www.lockabit.coppe.ufrj.br/http://www.mhavila.com.br/link/security/http://vxchaos.cjb.net/