SlideShare uma empresa Scribd logo

Segurança de Redes e Informações Volume 1

Eduardo Santana
Eduardo Santana
1 de 35
Baixar para ler offline
GOVERNO DO ESTADO DE PERNAMBUCO SECRETARIA DE EDUCAÇÃO Curso Técnico de Nível Médio a Distância INFORMÁTICA SEGURANÇA DE REDES E INFORMAÇÕES 01 VOLUME Recife - 2010
GOVERNADOR Eduardo Campos VICE-GOVERNADOR João Soares Lyra Neto SECRETÁRIO DE EDUCAÇÃO Danilo Jorge de Barros Cabral SECRETÁRIO EXECUTIVO DE EDUCAÇÃO PROFISSIONAL Nilton da Mota Silveira Filho GERENTE GERAL DE EDUCAÇÃO PROFISSIONAL Paulo Fernando de Vasconcelos Dutra COORDENADOR DO CURSO Almir Pires PROFESSOR CONTEUDISTA Dailson Fernandes EQUIPE EAD Adriana Higino de Oliveira Trovão | Eber Gustavo da Silva Gomes | Flávia Pereira de Araujo | Heloísa das Dores de Santana Arruda | Jannine Moreno Amaral de Souza Padilha | Laurisson Holanda | Márcia Rosane Tenório Calado | Maria Aparecida de Souza Gomes | Maria Helena Cavalcanti da Silva | Mauro de Pinho Vieira | Mônica Cristina Alcântara de Farias Borba | Naira Maria Alves Pinto | Robson Gomes dos Santos | Selma Leite de Vasconcelos | Zelma Helena Farias Santana Silva REVISÃO LINGUÍSTICA Álvaro Vinícius de Moraes Barbosa Duarte | Edigilson Ferreira de Albuquerque | Pedro Bernnardo | Zelma Helena Farias Santana Silva PROJETO GRÁFICO E EDITORAÇÃO DE TEXTOS Ana Rios | Laís Mayara Mira Cavalcanti | Robson Cavalcanti CATALOGAÇÃO NA FONTE Ficha Catalográfica elaborada pela Equipe de Bibliotecários da Secretaria de Educação do Estado de Pernambuco: Ana Cláudia Gouveia CRB-4/1505 | Fabiana Belo CRB-4/1463 P452s Pernambuco (Estado). Secretaria de Educação. Seguranças de Redes e Informações / Secretaria de Educação do Estado de Pernambuco, Organizado por Dailson Fernandes. - Recife: SEE, 2010. v. 1; 92 p. : il. Inclui bibliografia. Conteúdo: v.1. Introdução, classificação da informação e papéis no mundo virtual; Tipos de ataques, pragas virtuais e políticas de segurança e normas ; Segurança lógica, Ferramentas de proteção v. 2. Ferramentas de proteção de perímetro; Autoridade certificadora e PKI; Políticas de segurança, segurança wireless. 1. Informática. 2. Segurança de redes, 3. Segurança da informação. I. SEE II. Fernades, Dailson. III. Título. 004.056.53 CDU (2. ed.) SEE-PE
SUMÁRIO PROGRAMA DA DISCIPLINA 06 CONTEÚDO PROGRAMÁTICO 07 APRESENTAÇÃO DA DISCIPLINA 08 1 O QUE É SEGURANÇA DA INFORMAÇÃO? 10 1.1 Confidencialidade 11 1.2 Autenticação 11 1.3 Integridade e não-repúdio da mensagem 12 1.4 Disponibilidade e controle de acesso 13 1.5 Quais os objetivos da segurança da informação? 15 1.6 Por que a segurança da Informação é necessária 16 1.7 O Porquê da Invasão 16 1.8 Por que devo me preocupar com a segurança do meu computador? 18 1.9 Por que alguém iria querer invadir meu computador? 18 1.9.1 Quem são as pessoas que poderiam tentar invadir o meu computador ? 19 1.10 White-Hats 20 1.11 Gray hat 20 1.12 Black-Hats 21 1.13 Defacers 21 1.14 Crackers 22 1.15 Phreakers 23 1.16 Lammer 23 1.17 Newbie 24 1.18 Qual o Perfil de um Hacker? 24 1.19 Conheça um pouco da história do Hacker mais famoso de todos os tempos - Operação “TakeDown” 26
1.20 O Profissional da Segurança da Informação - O Security Officer 29 1.21 Quais os prejuízos da ausência de uma política de segurança da informação? 31 BIBLIOGRAFIA 35 2 T I P O S D E ATA Q U E S A R E D E S D E COMPUTADORES 37 2.1 Vírus 38 2.2 Worms 38 2.3 Spywares 39 2.4 Hijackers 40 2.5 Vírus de Macro 40 2.6 Exploits 40 2.7 Rootkits 41 2.8 Backdoors 41 2.9 Password Crackers 42 2.10 Mail Bomb 42 2.11 Key Loggers 43 2.12 Mouse Loggers 43 2.13 Spam 43 2.14 Phishing 44 2.15 Sniffing 44 2.16 Probing ou Footprinting 45 2.17 Buffer Overflow 45 2.18 Denial Of Services (DOS) 45 2.19 Spoofing 46 2.20 Phreaking 46 2.21 Smurf 47 2.22 Scamming 47 2.23 Teclado virtual falso 47 2.24 DNS Poisoning 48
2.25 BHOs - Browser Helper Objects 48 2.26 Clonagem de URLs 48 2.27 Scanning de memória/DLL Injection 48 2.28 SQL Injection 48 2.29 Bots 50 2.30 HOAX 51 2.31 Engenharia Social 52 3 METODOLOGIAS E MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO 54 3.1 COBIT 54 3.2 BS 7799 55 3.3 Como as empresas se tornam certificadas nas normas BS 7799 ou isso 17799 ? 56 4 FERRAMENTAS DE PROTEÇÃO 62 4.1 Anti-Vírus 62 4.2 Firewall 65 4.2.1 Como o firewall pessoal funciona? 67 4.2.2 Por que devo instalar um firewall pessoal em meu computador? 68 4.2.3 Como posso saber se estão tentando invadir meu computador? 68 4.2.4 Conheça alguns Firewalls Pessoais 70 4.3 AntiSpyware 78 4.3.1 Como o computador fica infectado com um Spyware? 78 4.3.2 Como os AntiSpywares funcionam ? 79 4.3.3 Livrando meu sistema de Spywares 80 4.4 AntiSpam 83 4.4.1 Conhecendo alguns AntiSpam do Mercado 86 4.5 AntiPhishing 87 4.6 AntiKeylogger 88
PROGRAMA DA DISCIPLINA Disciplina: Segurança de Redes e Informações Prof.: Dailson Fernandes Carga horária:60hs Ementa Conceito de informação e dados; valor da informação e do dado para alguma organização ou pessoa; atributos de segurança – confidencialidade, integridade e disponibilidade; níveis de segurança; riscos associados à falta de segurança; benefícios; custos de implementação dos mecanismos de segurança; tipos de mecanismos de segurança: mecanismos de criptografia; assinatura e certificação digital; mecanismos de controle de acesso; mecanismos de certificação; princípios básicos de segurança, segurança física, segurança lógica, ameaças a segurança, estatísticas, perfil dos atacantes, problemas de segurança inerentes ao TCP/IP; ferramentas de análise; políticas de segurança. Objetivo Geral O Curso objetiva desenvolver competências da área de informática, especificamente, na atividade de desenvolvimento de software, voltada para o trabalho em diversos setores, principalmente, para o comércio e processos administrativos, principais atividades do perfil econômico dos municípios no interior de Pernambuco. Como também, formar profissionais com visão empresarial e de gestão de negócios capazes de criarem seu próprio empreendimento. Objetivos Específicos 1 Formar profissionais capazes de automatizar processos administrativos através do uso de softwares adequados; 06
2 Formar profissionais aptos a desenvolverem programas comerciais em linguagem de alto nível para microcomputadores (em versão desktop ou Web); 3 Formar profissionais capazes de empreenderem negócios na área de Informática e com visão empreendedora para desbravar nichos de mercado locais. CONTEÚDO PROGRAMÁTICO Volume 1 Unidade 1 Introdução, classificação da informação e papéis no mundo virtual. Unidade 2 Tipos de ataques, pragas virtuais e políticas de segurança e normas. Unidade 3 Segurança lógica, Ferramentas de proteção Volume 2 Unidade 4 Ferramentas de proteção de perímetro Unidade 5 Autoridade certificadora e PKI Unidade 6 Políticas de segurança, segurança wireless 07
APRESENTAÇÃO DA DISCIPLINA Caro Aluno(a) seja bem vindo(a) à disciplina de Segurança de Redes e Informações. Ela objetiva apresentar a importância do bem mais valioso da humanidade: a informação. Se o valor de uma informação é alto, claro que temos pessoas interessadas em usurpar, mudar, alterar, roubar e tirar proveito em cima desse bem. Então, o que fazer para proteger informações, equipamentos e pessoas envolvidas em um sistema computacional? A contribuição imediata dessa disciplina é trazer a oportunidade de conhecer termos profissionais, normas, ferramentas, programas e pessoas envolvidas na segurança da informação. Essa, com certeza, é uma excelente chance conhecer uma das áreas mais obscuras e menos documentadas da Tecnologia da Informação. O foco principal dessa disciplina é apresentar aspectos de segurança física e lógica dos sistemas computacionais. É nosso foco aqui conhecer os termos utilizados nessa área, os profissionais envolvidos, as formas de ataques, as formas de prevenção, as certificações e algumas normas. A disciplina será apresentada em dois volumes, sendo que no primeiro serão desenvolvidos os seguintes temas: conceitos básicos de segurança, segurança física versus segurança lógica, profissionais envolvidos com a segurança informacional, normas e certificações da área, principais ataques, principais pragas do mundo virtual, confidencialidade, disponibilidade, integridade, equipamentos utilizados na segurança física e políticas de segurança. Na segunda parte do curso, você conhecerá as principais ferramentas utilizadas contra os ataques, a segurança lógica, os protocolos seguros, os conceitos de criptografia, a autoridade certificadora e o tráfego seguro de informações, bem como abordaremos a segurança em redes wireless. Bons Estudos! 08
UNIDADE 1 Introdução Figura1.jpg fonte: http://cgi.br Em relação a bens materiais, o que você acha que tem de mais valioso no mundo atual? Bens móveis? Imóveis? Carros? Empreendimentos? Ações na bolsa? Dinheiro? Claro que todos os itens citados têm seu devido valor em um mundo capitalista, basta você analisar como todo tipo de informação hoje é gerenciado, por exemplo: Como seu dinheiro é guardado no banco? Será que as cédulas que você depositou ou recebeu de salário estão lá fisicamente em algum lugar ou será que são dados/informações que são manipuladas por computadores e sistemas? Sem sombra de dúvida, muitas das riquezas e poder econômico não são vistos fisicamente, mas são informações, dados e números. Repetindo a pergunta: “O que temos de mais valioso hoje?” Com certeza, o valor de uma informação, dependendo do contexto, é incalculável. Mas nós, como usuários, onde entramos nessa cadeia de informações? Eu, como um usuário comum na internet, usando MSN, bate-papo, orkut ou qualquer outro serviço, estou correndo algum risco? Por que alguém teria interesse no seu computador? Você acha que alguém invadiria sua máquina? Roubaria algum dado seu? Com certeza, isso é possível e pode estar acontecendo agora enquanto você está lendo este fascículo. 09
1 O QUE É SEGURANÇA DA INFORMAÇÃO? A informação é um ativo que, como qualquer outro, tem um valor para a organização e, consequentemente, necessita de ser adequadamente protegido. A segurança protege a informação de diversos tipos de ameaças, garantindo a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e das oportunidades. A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados e à utilização não autorizada do computador ou de seus dispositivos periféricos. A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos e dos objetivos de uma organização, formalizados nos termos de uma política de segurança. Para entendermos bem o conceito de Segurança da Informação, precisamos conhecer os pilares dessa área da Tecnologia. São eles: Confidencialidade, autenticação, integridade, não-repúdio, disponibilidade e controle de acesso. Como identificados na figura 2. Figura 2 Fonte: http://www.solutioninf.com/info.htm 10
1.1 Confidencialidade Somente o remetente e o destinatário pretendido devem entender o conteúdo da mensagem transmitida. O fato de intrusos poderem interceptar a mensagem exige, necessariamente, que esta seja cifrada (maneira de disfarçar os dados, também conhecida como criptografia) para impedir que uma mensagem interceptada seja decifrada (entendida, ou ainda descriptografada) por um interceptador. Esse aspecto de confidencialidade é, provavelmente, o significado mais comumente percebido na expressão comunicação segura. Note, contudo, que essa não é apenas uma definição limitada de comunicação segura. Existem muitas outras vertentes que devem ser consideradas. Essa apenas trata da confidencialidade da mensagem, ou seja, a mensagem só deve ser lida pelo destinatário especificado, nenhuma outra pessoa será capaz de ler a mensagem. 1.2 Autenticação O remetente e o destinatário precisam confirmar a identidade de outra parte envolvida na comunicação – confirmar que a outra parte realmente é quem alega ser. No caso do nosso dia-a-dia é fácil fazer isso, pois basta olharmos e reconhecermos alguém ou escutarmos alguma voz e nós permitimos (autenticamos) que entrem na nossa casa ou ainda use algum bem nosso. Mas como autenticar alguém via computador? Como o computador reconhece que João é João mesmo, e não é outra pessoa que está tentando se passar por ele? Por exemplo, como ter certeza de que o e-mail que você acabou de receber de seu pai ou sua mãe foi realmente escrito por eles? Claro, você pode argumentar que o assunto abordado, as palavras e o jeito de escrever são do seu pai ou da sua mãe, mas se esse email foi interceptado e propositadamente alterado? Ou, ainda, podemos citar um exemplo mais profissional, como saber que o extrato enviado do banco para sua conta corrente não foi alterado? 11
Para ter certeza de alguma dessas operações, precisamos da autenticação, ou seja, que o remetente seja autêntico, que confirme ser quem ele é. Existem diversos tipos de procedimentos para fazer a autenticação de uma pessoa, por exemplo, toda vez que você entra no Ambiente Virtual de Aprendizagem para ler suas aulas, passa por um processo de autenticação, precisando informar usuário e senha. Diante disso, o sistema reconhece que o usuário é autêntico, que pode ler as aulas on-line e acessar dados pessoais. Mas então eu lhe pergunto: E se alguém viu a sua senha e depois entrou com seu usuário e senha? Como o Ambiente Virtual de Aprendizagem irá saber que aquele não é um acesso legítimo? Bom, mais adiante no nosso curso, iremos aprender que existem outros tipos de autenticação que evitaria esse tipo tão comum de invasão. 1.3 Integridade e não-repúdio da mensagem Mesmo que o remetente e o destinatário de uma mensagem consigam se autenticar mutuamente, eles precisam saber que a mensagem não foi alterada durante o caminho. O valor da informação deve ser imutável durante todo o percurso. Imagine um email enviado de Taquaritinga para Tókio no Japão, ele passará por diversos meios de transmissão, roteadores, links, backbones e ativos de rede. Como garantir que nesse enorme percurso não há um dispositivo malicioso ou ainda uma pessoa mal intencionada que altere o conteúdo da mensagem? Para nossa felicidade, existem meios de manter a mensagem íntegra (com seu conteúdo imutável ao longo de todo o caminho) para que ela seja recebida pelo destinatário e haja o não- repúdio. O não-repúdio é uma técnica usada para garantir que alguém que esteja executando uma ação em um computador não possa negar falsamente que realizou tal ação. O não-repúdio oferece uma prova suficientemente inegável de que o usuário ou dispositivo efetuou uma 12
determinada ação, como transferência de dinheiro, autorização de compra ou envio de uma mensagem. 1.4 Disponibilidade e controle de acesso A paranóia dos administradores de redes e profissionais de segurança em proteger os dados esbarra em um dos pilares mais importantes da Segurança da Informação: a disponibilidade. Manter os dados seguros e disponíveis é o grande desafio, pois, se houver exagero na segurança, posso negar aos usuários legítimos o acesso aos dados que eles desejam manipular. Também preciso garantir que usuários legítimos acessem seus dados. É nessa parte que entra o controle de acesso. O controle de acesso garante que usuários legítimos (verdadeiros) acessem apenas os dados que eles podem acessar. Funciona como em um circo ou em um show. Você pode comprar um ingresso para ver na melhor área, bem perto do palco (conhecida como Área Vip) ou comprar um ingresso mais barato e ver um pouco (ou muito) longe do palco. Note que há um controle de acesso, ou seja, o usuário que pagou mais caro vai ter o direito de entrar em uma área reservada e melhor, quem pagou mais barato, terá que se contentar em estar em uma área um pouco pior. Resumindo... - Confidencialidade: garante que a informação só será acessada por pessoas autorizadas, ou seja, o destinatário sabe exatamente que quem escreveu a mensagem foi o remetente especificado; - Integridade: assegura que a informação deve ser verdadeira e imutável ao longo de qualquer processamento ou transmissão; - Disponibilidade: garante que os usuários autorizados sempre consigam ter acesso à informação e aos ativos correspondentes sempre que necessário. 13
- Controle de acesso: Mecanismo que reconhece o usuário e permite que ele acesse apenas os dados que ele tem direito; - Não-repúdio: técnica usada para garantir que alguém que esteja executando uma ação em um computador não possa negar falsamente que realizou tal ação. O não-repúdio oferece uma prova suficientemente inegável de que o usuário ou dispositivo efetuou uma determinada ação, como transferência de dinheiro, autorização de compra ou envio de mensagem. Os pilares acima visam prover os sistemas de informações contra os mais variados tipos de ameaças como, por exemplo: - Revelação de informações: em casos de espionagem; - Fraude: não reconhecimento da origem, modificação de informações, ou mesmo caso de espionagem; - Interrupção: modificação de informações; - Usurpação: modificação de informações, negação de serviços ou espionagem. Para lidar com essas ameaças, torna-se necessária a definição de políticas e mecanismos de segurança, visando dar suporte a: - Prevenção: evitar que invasores violem os mecanismos de segurança; - Detecção: detectar invasão aos mecanismos de segurança; - Recuperação: interromper a ameaça, avaliar e reparar danos, além de manter a operacionalidade do sistema caso ocorra invasão ao sistema. Algumas questões de natureza operacional surgem em decorrência da necessidade de prover suporte à segurança de sistemas de informações, tais como: - É menos dispendioso prevenir ou corrigir danos? - Qual o grau de segurança a ser imposto aos sistemas de 14
informações? - Qual o nível de legalidade das medidas de segurança desejadas? [Silva Filho, 2006] Outro pilar que devemos usar para embasar a segurança da informação é a segurança física e ambiental, de forma a garantir que o ambiente de processamento de dados possua acesso restrito apenas às pessoas autorizadas, ou seja, protegidos contra acidentes, sejam eles de origem natural ou não. Essa diretriz reza que, mesmo em caso de acidentes e seja ele de que proporção for (como incêndios, ataque terrorista ou roubo), as informações sejam recuperadas de forma íntegra e segura. 1.5 Quais os objetivos da segurança da informação? Antes de pensar em qualquer tipo de segurança da informação, devemos responder aos seguintes questionamentos: - O que devemos proteger? - Contra quem ou contra o que? - Quais as ameaças prováveis? - Qual a importância de cada recurso? - Qual o grau de proteção desejado? - Quanto tempo e quantos recursos humanos e financeiros pretendemos gastar para atingirmos os objetivos de segurança desejados? - Quais as consequências para a organização se os sistemas e as informações forem corrompidos ou roubados? Com base nessas informações, é possível definir os objetivos e a abrangência da segurança da informação que uma organização deverá implementar. 15
1.6 Por que a segurança da Informação é necessária O grande e imensurável valor da informação faz com que sejam criados e mantidos artefatos para que a informação continue disponível, íntegra e confidencial. Proteger as informações de uma empresa é essencial para preservar a competitividade, o faturamento a lucratividade o atendimento aos requisitos legais e a imagem da organização perante o mercado e os clientes. Cada vez mais, os sistemas de informação e de redes de computadores das organizações são colocados à prova por diversos tipos de ameaças, de uma variedade de fontes, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo e inundação. Problemas causados por hackers, vírus e ataques de rede estão se tornado cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A dependência dos sistemas de informação e serviços significa que as organizações estão mais vulneráveis às ameaças de segurança. A conexão de redes públicas e privadas e o compartilhamento de recurso aumentam as dificuldades públicas e privadas e o compartilhamento de recursos ampliam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente. 1.7 O Porquê da Invasão Figura3.jpg Fonte: http://djracker.blogspot.com/ 16
As empresas hoje em dia investem quantias fantásticas em segurança, mas não no Brasil. O retrato do descaso à segurança de informações no Brasil é claramente traduzido na falta de leis. Além disso, existe um fator agravante: quando existir o interesse em elaborar tais leis, ocorrerá por indivíduos que não tem por objetivo principal a segurança em si. O resultado serão leis absurdas, que irão atrapalhar mais do que ajudar. Um exemplo disso é o que vem ocorrendo em alguns estados nos EUA. Neles, a lei chega a ser tão restritiva, que até testes de vulnerabilidade são considerados ilegais, mesmo com o consentimento da empresa contratante do serviço. Isso no aspecto empresarial. Para se ter leis cabíveis e funcionais, deveríamos ter técnicos e analistas aplicando as leis e não deputados e senadores sem conhecimento técnico da área. Como forma de minimizar estes efeitos, os homens do poder legislativo deveriam ser bem assessorados por profissionais da área. No caso do usuário final, este fica entregue à sorte. Ele deverá se preocupar com a proteção do seu computador e, muitas vezes, de forma desordenada e utilizando programas e procedimentos geralmente indicados por pessoas que apenas acham, mas não sabem de fato o que está fazendo. E geralmente um programinha instalado, ou duas ou três ferramentas, deixam a sensação de proteção quando na verdade “a casa está aberta” e o ladrão pode chegar a qualquer hora. De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nível de segurança de quem acessa a Internet por um link, seja ele discado, velox, via satélite ou os modems 3G. É justamente nesse nicho de mercado onde estão as principais vítimas, que inclusive, não são notícia no dia seguinte a uma invasão. Como estamos discutindo segurança, podemos começar a 17
falar da segurança pessoal, ou melhor, a segurança do meu computador. Porque alguém tentaria invadir o meu computador? Ou ainda, por que devo me preocupar com isso? [Cholewa 2001] 1.8 Por que devo me preocupar com a segurança do meu computador? Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços ou utilizadas para comunicação através de emails, armazenamento de dados pessoais ou comerciais. É importante que você se preocupe com a segurança de seu computador, pois provavelmente não gostaria que: - Suas senhas e números de cartões de créditos fossem furtados e utilizados por terceiros; - Sua conta de acesso à Internet fosse utilizada por alguém não autorizado; - Seus dados pessoais ou, até mesmo, comerciais, fossem alterados, destruídos ou visualizados por terceiros; - Seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados; - Sua senha de email fosse roubada e trocada e a pessoa lhe cobrasse um valor exorbitante para devolver sua conta intacta. 1.9 Por que alguém iria querer invadir meu computador? A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns deles podem ser: - Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; - Manipular seu computador para lançar ataques contra outros 18
computadores; - Usar seu disco rígido como repositório de dados; - Destruir informações (vandalismo); - Disseminar mensagens alarmantes e falsas; - Ler e enviar emails em seu nome; - Propagar vírus de computador; - Furtar números de cartões de crédito e senhas bancárias “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br” Vale ressaltar que as ameaças acima podem ser de diversas naturezas e, nesse sentido, as ameaças são, geralmente, classificadas como intrusiva, não intrusiva, maliciosa, não maliciosa. Intrusiva: A pessoa (atacante) conseguiu entrar no seu computador ou rede; Não-Intrusiva: A pessoa (atacante) não conseguiu entrar no seu computador ou rede, porém consegue prejudicar seu acesso a rede ou consegue tirar proveito de algum recurso seu; Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, tem intenção de prejudicá-lo; Não Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, não tem intenção de prejudicá-lo; 1.9.1 Quem são as pessoas que poderiam tentar invadir o meu computador ? Figura_4.png Fonte: http://www.lariaeditutti.org/ 19
Quando se fala do ladrão virtual ou aquele que quer invadir um sistema computacional, se fala no termo “Hacker” e isso se generalizou, porém vamos conhecer os termos das pessoas que tentam se aventurar no ramo da segurança. Aqui vamos falar do perfil do “invasor” e vamos ver também que o dito “invasor” nem sempre é um ladrão ou uma pessoa que quer fazer o mal. Na verdade, existem muitas pessoas que invadem ou procuram brechas no sistema para avisar aos donos que existem problemas e que eles cuidem de consertar antes que seja tarde. 1.10 White-Hats Os white-hats são os hackers que exploram problemas de segurança para divulgá-los abertamente, de forma que toda a comunidade tenha acesso a informações sobre como se proteger. Desejam abolir a “segurança por obscuridade”, que nada mais é do que tentar proteger ou manter a segurança pelo segredo de informações sobre o funcionamento de uma rede, versão do sistema operacional ou tipos e marcas dos programas em geral. Seu lema é o “full disclosure”, ou conhecimento aberto, acessível a todos. Alguns adotam também a filosofia de “moderated disclosure”, ou conhecimento moderado, liberando informações sobre como funciona um bug (falha de um programa) ou vulnerabilidade, mas sem liberar, na maioria das vezes, o que chamamos de “exploit”, ou código que permite explorar a vulnerabilidade de um programa ou sistema. Os White-hat são do bem e procuram ajudar! 1.11 Gray hat O Gray hat tem as habilidades e intenções de um hacker de chapéu branco (White-hat) na maioria dos casos, mas, por vezes, utiliza seu conhecimento para propósitos menos nobres. Um hacker de chapéu cinza (Gray-hat) pode ser descrito como um hacker de 20
chapéu branco que, às vezes, veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a confidencialidade. Alguns argumentam, no entanto, que o ato de penetrar em um sistema por si só já é antiético. 1.12 Black-Hats Figura_5.jpg Fonte: www.wired.com Descrição: Símbolo do Black-Hat Ao contrário dos white-hats, apesar de movidos também pela curiosidade, usam suas descobertas e habilidades em favor próprio, em esquemas de extorsão, chantagem de algum tipo, ou qualquer esquema que venha a trazer algum benefício ilícito. Esses são extremamente perigosos e difíceis de identificar, pois nunca tentarão chamar a atenção. Agem da forma mais furtiva possível. 1.13 Defacers Os defacers, na grande maioria das vezes, são organizados em grupos. São, geralmente, muito jovens e, algumas vezes, já atuam com apenas 12 anos. Usam seus conhecimentos para invadir servidores que possuam páginas web e tem por objetivo modificar essas páginas. 21
Obviamente, mudar a página principal de um site famoso dá certa quantidade de “exposição”, tornando o “hacker”, ou o grupo, conhecido na comunidade. Muitos analistas sugerem que a grande motivação desses grupos é justamente se tornarem conhecidos na comunidade e, de certa forma, “provarem” que são capazes. Muitas vezes, ocorrem disputas entre grupos de defacers, para descobrirem quem consegue desfigurar o maior número de sites no menor tempo. Apesar da maioria esmagadora dos defacers negar, eles são, por amostragem, “pichadores” digitais. Geralmente, não criam ou descobrem novas vulnerabilidades. Apenas usam o que já foi descoberto recentemente, se aproveitando do atraso entre a publicação de uma falha e a publicação/aplicação de correções. Existem inúmeros grupos de defacers Brasileiros e muitos deles são considerados os “mais eficazes e rápidos” do mundo. Frequentemente, utilizam o IRC (Internet Relay Chat – ou bate-papo online). Estatísticas de sites especializados demonstram que o Brasil, hoje, resguardando as devidas proporções, é um dos Países do mundo que mais sofre com defacements. Isso está diretamente relacionado com a “qualidade” e o nível técnico dos “hackers” em nosso País. 1.14 Crackers As denominações para os crackers são muitas. Alguns classificam de crackers, aqueles que têm por objetivo invadir sistemas em rede ou computadores apenas pelo desafio. Contudo, historicamente, o nome “cracker” tem uma relação com a modificação de código, para obter funcionalidades que não existem, ou, de certa forma, limitadas. Um exemplo clássico são os diversos grupos existentes na Internet, que tem por finalidade criar “patches” ou 22
mesmo “cracks” que modificam programas comerciais (limitados por mecanismos de tempo, por exemplo, como shareware), permitindo seu uso irrestrito, sem limitação alguma. No caso de invasão a sistemas, o cracker e os black-hats têm a mesma função. 1.15 Phreakers Apesar de muitos considerarem um cientista russo chamado Nicola Tesla (realizador de experiências elétricas assustadoras até os dias de hoje) como o primeiro hacker da história, os primeiros hackers da era digital lidavam com telefonia. Sua especialidade era interferir com o curso normal de funcionamento das centrais telefônicas, mudar rotas, números, realizar chamadas sem tarifação, bem como proceder a chamadas sem serem detectados. Com a informatização das centrais telefônicas, ficou inclusive mais fácil e acessível o comprometimento de tais informações. Kevin Mitnick, considerado o maior hacker de todos os tempos, era um ótimo phreaker. Na fase final de sua captura, quando os agentes de governo ajudados pelo Sr. Tsutomu Shimomura, especialista de segurança do SDSC (San Diego Supercomputing Center), estavam chegando a um nome, ele conseguia enganar as investigações através do controle que tinha da rede de telefonia da GTE (uma das concessionárias telefônicas nos EUA). 1.16 Lammer O termo “lammer” indica uma pessoa que crê ser um hacker (decifrador) e demonstra grande arrogância, no entanto sabe pouco ou muito pouco sobre o assunto e é geralmente malicioso. O lammer utiliza ferramentas criadas por crackers para demonstrar sua suposta capacidade ou poder, na intenção de competir por reputação, no entanto são extremamente inconvenientes para convívio social, 23
mesmo com outros hackers. Algumas pessoas acreditam que essa é uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade. Os lammers ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, ou divulgam abertamente suas “façanhas”, e usam em 99% dos casos scripts ou exploits conhecidos, já divulgados, denominadas “receitas de bolo”, facilmente encontradas em sites como http://www.milw0rm.com, http://www.packetstormsecurity.org ou http://securiteam.com. Estes possuem relação direta com a maioria dos usuários da Internet Brasileira. São facilmente encontrados em fóruns de discussão sobre o tema, e principalmente no IRC. A maioria não possui escrúpulo algum, portanto, tomar medidas de cautela é aconselhável. Os lammers geralmente atacam sem uma razão ou objetivo, apenas para testar ou treinar suas descobertas, fazendo dos usuários da Internet seus potenciais alvos. [Cholewa 2001] 1.17 Newbie Newbie, noob ou a sigla NB vem do inglês "novato". Indica uma pessoa aprendiz na área, ainda sem muita habilidade, porém que possui uma sede de conhecimento notável. Ele pergunta muito, mas é frequentemente ignorado ou ridicularizado por outros novatos que sabem mais do que ele (ao contrario dos lammers que são ridicularizados por todos). Hackers experientes normalmente não ridicularizam os novatos, por respeito ao desejo de aprender – no entanto, podem ignorá-los por falta de tempo ou paciência. 1.18 Qual o Perfil de um Hacker? O perfil típico do hacker é: jovem entre 15 e 25 anos, com amplo conhecimento de programação (geralmente em linguagens como C, C++, Java e Assembler), e noções de redes e Internet. O mais 24
interessante é que, no Brasil, a grande maioria dos “hackers” começa cedo (algumas vezes com menos de 12 anos) em conhecimentos de programação nas linguagens citadas acima. Muitos deles se esquecem da importância do funcionamento da Internet e de redes em si, o que, de certa forma, é algo bom. A atuação e força de tais “hackers” seriam bem mais poderosas caso aliassem o conhecimento em redes e Internet ao conhecimento em linguagens de programação. As afirmações acima nos levam a uma conclusão: a grande maioria dos hackers entre 12 e 25 anos não desenvolve vulnerabilidades, apenas copiam vulnerabilidades publicadas em sites especializados e fazem uso destas em massa, antes que qualquer tentativa de correção seja humanamente possível ou viável. Notadamente, devemos deixar claro que muitos “hackers” trabalham verdadeiramente empenhados em descobrir falhas e ajudar os usuários de tecnologia a se protegerem. O termo “hacker” tem sido muito usado ultimamente, mas com uma conotação não muito acertada. Muitas vezes, o termo tem sido associado a reportagens e publicações que distorcem o seu verdadeiro sentido. De qualquer forma, a maioria das empresas desenvolvedoras de software (principalmente sistemas operacionais ou software com aplicações específicas em redes ou segurança), publica correções no período de 24 a 48 horas (ou menos que isso) após a divulgação de uma vulnerabilidade na Internet. Isso só ocorre hoje por causa da pressão natural do mercado em exigir uma resposta, diante da publicação de uma falha. Devemos, então, agradecer, diretamente, aos especialistas em segurança e aos verdadeiros “hackers” por permitir que tal processo funcione. 25
1.19 Conheça um pouco da história do Hacker mais famoso de todos os tempos - Operação “TakeDown” Para entender melhor o que pensa um típico black-hat, um phreaker, e um white-hat, analisemos o caso de Kevin Mitnick e Tsutomu Shimomura. Kevin Mitnick a um bom tempo (meados dos anos 80) já havia sido investigado pela polícia, por atividades ilícitas ligadas à segurança de computadores, sempre relacionadas à sua atuação como hacker. Por volta de 1992, Tsutomu Shimomura e outro hacker conhecido chamado Mark Lotto desmontaram o código do sistema operacional de um celular da OKI, através de engenharia reversa. Tsutomu trabalhava como consultor para a Motorola. Ninguém sabe ao certo o que fez Kevin tentar invadir as máquinas de Tsutomu, contudo, a comunidade tem uma certeza: não foi um ataque simples, foi algo planejado. Tudo indica que o objetivo de Kevin era conseguir obter os códigos-fonte dos celulares que Tsutomu possuía, para posteriormente vendê-los. Figura: Mitnick.jpg Descrição: Kevin Mitnick Fonte:destruídos.com 26
Tudo começou quando ele conseguiu controlar as centrais telefônicas da GTE. Kevin discava de um celular e raramente de casa, de uma cidade chamada Raleigh, na Carolina do Norte, USA. Assim, invadiu as máquinas de um provedor chamado The Well, que usava para ter acesso à Internet. Ele usou como ponto de partida os servidores do “The Well” para o ataque. Também comprometeu estações e servidores no provedor “Toad.com”. Perceba que, tanto o “The Well” como o “Toad.com” são considerados os pilares da comunidade da Internet que conhecemos hoje. Enquanto isso, aproveitou seu acesso “invisível” através do “The Well”, para invadir outro provedor, chamado NetCom, de onde roubou milhares de números de cartões de crédito. Após o roubo dos números, invadiu uma máquina em Toad.com. De lá, iniciou o ataque à rede de Tsutomu Shimomura. Através de um antigo exploit do finger, e usando um pouco de port scanning, ele conseguiu descobrir que uma máquina de Tsutomu, chamada Ariel, tinha uma relação de confiança com outra máquina na rede de Tsutomu. Ele tirou essa máquina do ar através de um ataque do tipo DoS (Denial of Service), e utilizou uma técnica chamada IP Spoofing, para a máquina Ariel “pensar” que estava sendo acessada pela máquina na qual confiava. Daí pra frente ficou fácil. Observe que Kevin usou de uma série de artifícios para não ser detectado, desde a sua ligação telefônica até seu acesso aos computadores de Tsutomu, e que sua motivação também era financeira. Inclusive, muitos dos métodos usados por ele são amplamente divulgados hoje em dia. Tsutomu conseguiu chegar a Kevin devido a um rastro deixado em Ariel. Descobriu então, que as conexões tinham partido de Toad.com. Assim, iniciou uma caçada, que vários meses depois, chegou em Raleigh, e culminou com a captura do Kevin (com ajuda do FBI) em fevereiro de 1995, através do sinal de seu celular, que usava 27
para se conectar. O mais interessante de tudo é que Kevin não era especialista em UNIX (sistema usado por Tsutomu, pelo Toad.com e pela Well). Ele era, na verdade, especialista em VMS / VAX, um sistema da Digital e parecia ter profundos conhecimentos sobre os sistemas da Digital. Tudo indica que Kevin seguiu várias dicas de alguém em Israel, que, até hoje, ninguém conseguiu identificar. Kevin forneceu várias informações sobre como invadir sistemas VMS / VAX e recebeu as dicas de como usar o IP spoofing, que, na época, era uma técnica recente, nunca testada, apenas discutida academicamente. Existe um site na Internet que possui um log demonstrando a sessão de telnet que Kevin usou; algumas chamadas que ele teria realizado para o Mark Lotto, demonstrando seu interesse pelo código fonte dos celulares, e algumas gravações da secretária telefônica do Tsutomu, que, supostamente, teriam sido feitas pelo Kevin. O site pode ser acessado em: http://www.takedown.com Existem também dois livros que contam essa história. Um com a visão de Kevin, escrito pelo Jonattan Littman, e outro com a visão de Tsutomu, escrito por John Markoff em conjunto com ele. Esse último possui uma edição nacional, pela Companhia das Letras. Chama-se “Contra-Ataque”. O livro escrito pelo Littman chama-se “The Fugitive Game: online with Kevin Mitnick”. Ambos podem ser encontrados online em livrarias como Amazon.com por menos de 20 dólares cada. Kevin Mitnick foi solto em 21 de janeiro de 2000. [Cholewa 2001] Hoje Kevin Mitnick tem uma empresa em consultoria de segurança e escreveu dois livros: “A Arte de Enganar“ e “A Arte de Invadir”. Recomendamos fortemente a leitura desses dois livros e o filme “Operação Takedown 2”, que conta essa incrível história. 28
1.20 O Profissional da Segurança da Informação – O Security Officer Figura: Security.jpg Fonte: http://dominioti.files.wordpress.com Sabemos, até então, quem está do “outro lado da linha”, ou seja, aquele que vem à nossa rede ou máquina e procura brechas, sejam para satisfação pessoal, curiosidade, estudo ou roubo. Mas quem deve cuidar para que isso seja evitado? Qual o profissional que deve cuidar da integridade, disponibilidade e confidencialidade das informações de uma organização? Quem deve manter a segurança de uma organização? Quem deve propor procedimentos e prover ferramentas para manter os “hackers” longe? Esse profissional se chama Security Officer. Detalhando, de acordo com as melhores práticas existentes no mercado, as funções de um Security Officer são: - Organização da área de segurança e da infra-estrutura organizacional para o tratamento da segurança da empresa; - Planejamento dos investimentos para a segurança da informação; - Definição dos índices e indicadores para análise do retorno do investimento; - Orientação e coordenação da equipe de segurança ou da 29
consultoria terceirizada; - Definição, elaboração, divulgação, treinamento, implementação e administração das seguintes atividades: - O plano estratégico de segurança; - A política de segurança; - Análise de risco; - Plano de auditoria de segurança; - Relatórios de diagnóstico do nível de segurança; - Conformidade e atendimento à legislação vigente; - Investigações sobre incidentes de segurança. É de suma importância que o Security Officer conheça o negócio da organização, seu plano de negócios, modelos de gestão e tecnologias disponíveis para manter a segurança da informação. A área da segurança da informação deve existir independente da corporação, ligado diretamente à diretoria ou presidência. Não deverá estar ligado nem à área de informática nem à de auditoria. Sua função é a de manter e garantir que a política de segurança esteja sendo realmente seguida pela organização. Hoje, por questão de custos e também falta de visão de muitas organizações, a função de security officer é acumulada com a função de sysadmin. O sysadmin, também conhecido como administrador de redes é o profissional voltado a manter todos os serviços, servidores de rede e computadores de uma organização funcionando de forma estável e confiável. Porém, o sysadmin além de se preocupar com a infra-estrutura da empresa, também tem que estar atento à segurança da organização também. Na maioria das vezes, o profissional não faz os dois serviços da forma que deveria fazer. Deixando uma das áreas debilitadas, pois estas demandam muitos procedimentos e ferramentas, sendo, pois, quase impossível sua manutenção por um único profissional. 30
1.21 Quais os prejuízos da ausência de uma política de segurança da informação? Estima-se, através de levantamentos feitos por entidades idôneas da área, que, a cada incidente de segurança, se gasta em torno de R$ 200.000,00 (duzentos mil reais) e 68 dias de trabalho perdido, isso quando está se falando de grandes organizações. Um excelente exemplo nos dias atuais (Julho/2009) é uma grande operadora de telefonia que atua no estado de São Paulo e que está sendo vítima de diversos tipos de ataques de negação de serviço (conhecidos como DDoS ou DOS) que indisponibiliza os serviços de internet para seus clientes. O prejuízo é enorme, pois são milhares de clientes que ficam sem conexão com a internet em suas casas e empresas, clientes corporativos que mantém outros tipos de serviços com a operadora e o Ministério Público que já puniu a empresa algumas vezes com multa e determinando que ela não possa oferecer o serviço para novos clientes enquanto não resolver o problema. SAIBA MAIS http://migre.me/4GoK http://migre.me/4Gps http://migre.me/4Gpv http://migre.me/4GpD http://migre.me/4GpO Você consegue imaginar o tamanho do prejuízo? Tanto financeiro quanto para a imagem da referida empresa? Abordaremos a seguir alguns tópicos de empresas que não tem a política de segurança da informação como um de seus pilares: - Imagem e credibilidade afetadas; 31
- Aumento de despesas com prejuízos por paralisação do negócio e vazamento de informações; - Perda por fraudes e erros; - Novas aplicações e negócios viabilizados sem segurança; - Inexistência de segurança adequada para a continuidade dos negócios; - Ausência de controle das informações custodiadas; - Possibilidade de tarefas serem executadas sem padronização e formalização, tais como concessão de acesso a um novo funcionário sem o conhecimento do responsável que, efetivamente, deveria realizá-lo; - Informações ou programas podem ser acessados de forma indiscriminada sem autorização e controle de acesso; - Falta de monitoramento das atividades da rede, fazendo com que mesmo que ocorra uma invasão, ela jamais tenha sido descoberta ou catalogada; - Divulgação de dados confidenciais da empresa ou clientes que trariam prejuízos incalculáveis. 32
RESUMO A Segurança da Informação é um conjunto de procedimentos que envolve pessoas, ferramentas, procedimentos e equipamentos. Política de Segurança é um conjunto de regras que mantém a segurança em instituições e em ambiente corporativo Os pilares da Segurança da Informação são: Confidencialidade, autenticação, integridade, não-repúdio, disponibilidade e controle de acesso Confidencialidade: garantia que a informação só será acessada por pessoas autorizadas, ou seja, o destinatário da mensagem sabe exatamente que quem escreveu a mensagem foi o remetente especificado; Integridade: assegura que a informação deve ser verdadeira e imutável ao logo de qualquer processamento ou transmissão; Disponibilidade: garantia que os usuários autorizados sempre consigam ter acesso à informação e aos ativos correspondentes sempre que necessário. Controle de Acesso: Mecanismo que reconhece o usuário e permite que ele acesse apenas os dados que ele tem direito; Não-Repúdio: é uma técnica usada para garantir que alguém que esteja executando uma ação em um computador não possa negar falsamente que realizou tal ação. O não-repúdio oferece uma prova suficientemente inegável de que o usuário ou dispositivo efetuou uma determinada ação, como transferência de dinheiro, autorização de compra ou envio de uma mensagem. A Segurança Física e Ambiental deve andar lado a lado com a Segurança da Informação. A Segurança da Informação protege não apenas os dados de uma corporação como seus ativos e funcinários. 33
Os motivos de uma invasão são diversos, mas podemos destacar o roubo de informações e o aproveitamento ilícito de equipamentos. As invasões são classificadas em: Intrusiva, Não-Intrusiva, Maliciosa e Não Maliciosa. Invasão Intrusiva: A pessoa (atacante) conseguiu entrar no seu computador ou rede; Invasão Não-Intrusiva: A pessoa (atacante) não conseguiu entrar no seu computador ou rede, porém consegue prejudicar seu acesso a rede ou consegue tirar proveito de algum recurso seu; Invasão Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, tem intenção de prejudicá-lo; Invasão Não Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, não tem intenção de prejudicá-lo; As pessoas que invadem sistemas de computação são conhecidos como Hackers e Crackers. O que diferencia um Hacker de um Cracker é que o Hacker tem objetivos de estudos, aprendizado e ajuda, enquanto o Cracker vem para roubar e destruir. A Operação Takedown foi uma das maiores perseguições a um Hacker no mundo, onde o Hacker Tsutomu Shimomura foi contratado pelo governo americano para capturar de Kevin Mitnick. O Profissional que trabalha com a Segurança da Informação é conhecido como Security Officer. O Profissional que trabalha com Administração de Redes de Computadores é conhecido como Sysadmin. 34
BIBLIOGRAFIA CARTILHA DE SEGURANÇA PARA INTERNET. Desenvolvida pelo C E R T. b r , m a n t i d o p e l o N I C . b r . D i s p o n í v e l e m : <http://cartilha.cert.br/>. Acesso em: 12 Jul. 2009. CHOLEWA, Rômulo Moacyr. Agosto 2001. Disponível em: <http://www.rmc.eti.br>. Acesso em: 9 Jul. 2009 FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003 KUROSE, James F. Redes de Computadores e a Internet. 3. ed. São Paulo:Pearson, 2006 S I LVA F I L H O , A n t o n i o M e n d e s d a . D i s p o n í v e l e m : <http://www.espacoacademico.com.br/042/42amsf.htm>. Acesso em: 11 Jul. 2009. 35

Recomendados

Estatísticas do Security Leaders 2010
Estatísticas do Security Leaders 2010Estatísticas do Security Leaders 2010
Estatísticas do Security Leaders 2010Gabriela Makhoul
 
Inf sis opeinf_semana6
Inf sis opeinf_semana6Inf sis opeinf_semana6
Inf sis opeinf_semana6Eduardo Santana
 
Inf seg redinf_semana6
Inf seg redinf_semana6Inf seg redinf_semana6
Inf seg redinf_semana6Eduardo Santana
 
Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao LinuxEduardo Santana
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Eduardo Santana
 
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Eduardo Santana
 
Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Eduardo Santana
 

Recomendados

Estatísticas do Security Leaders 2010
Estatísticas do Security Leaders 2010Estatísticas do Security Leaders 2010
Estatísticas do Security Leaders 2010Gabriela Makhoul
 
Inf sis opeinf_semana6
Inf sis opeinf_semana6Inf sis opeinf_semana6
Inf sis opeinf_semana6Eduardo Santana
 
Inf seg redinf_semana6
Inf seg redinf_semana6Inf seg redinf_semana6
Inf seg redinf_semana6Eduardo Santana
 
Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao LinuxEduardo Santana
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Eduardo Santana
 
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Eduardo Santana
 
Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Eduardo Santana
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 
Unidade2
Unidade2Unidade2
Unidade2Eduardo Santana
 
Unidade1
Unidade1Unidade1
Unidade1Eduardo Santana
 
Unidade O5
Unidade O5Unidade O5
Unidade O5Eduardo Santana
 
Unidade O4
Unidade O4Unidade O4
Unidade O4Eduardo Santana
 
Unidade O3
Unidade O3Unidade O3
Unidade O3Eduardo Santana
 
Unidade O2
Unidade O2Unidade O2
Unidade O2Eduardo Santana
 
Unidade O1
Unidade O1Unidade O1
Unidade O1Eduardo Santana
 
Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxEduardo Santana
 

Mais conteúdo relacionado

Mais de Eduardo Santana

Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 
Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxEduardo Santana
 

Mais de Eduardo Santana (10)

Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2
 
Unidade2
Unidade2Unidade2
Unidade2
 
Unidade1
Unidade1Unidade1
Unidade1
 
Unidade O5
Unidade O5Unidade O5
Unidade O5
 
Unidade O4
Unidade O4Unidade O4
Unidade O4
 
Unidade O3
Unidade O3Unidade O3
Unidade O3
 
Unidade O2
Unidade O2Unidade O2
Unidade O2
 
Unidade O1
Unidade O1Unidade O1
Unidade O1
 
Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional Linux
 

Segurança de Redes e Informações Volume 1

  • 1. GOVERNO DO ESTADO DE PERNAMBUCO SECRETARIA DE EDUCAÇÃO Curso Técnico de Nível Médio a Distância INFORMÁTICA SEGURANÇA DE REDES E INFORMAÇÕES 01 VOLUME Recife - 2010
  • 2. GOVERNADOR Eduardo Campos VICE-GOVERNADOR João Soares Lyra Neto SECRETÁRIO DE EDUCAÇÃO Danilo Jorge de Barros Cabral SECRETÁRIO EXECUTIVO DE EDUCAÇÃO PROFISSIONAL Nilton da Mota Silveira Filho GERENTE GERAL DE EDUCAÇÃO PROFISSIONAL Paulo Fernando de Vasconcelos Dutra COORDENADOR DO CURSO Almir Pires PROFESSOR CONTEUDISTA Dailson Fernandes EQUIPE EAD Adriana Higino de Oliveira Trovão | Eber Gustavo da Silva Gomes | Flávia Pereira de Araujo | Heloísa das Dores de Santana Arruda | Jannine Moreno Amaral de Souza Padilha | Laurisson Holanda | Márcia Rosane Tenório Calado | Maria Aparecida de Souza Gomes | Maria Helena Cavalcanti da Silva | Mauro de Pinho Vieira | Mônica Cristina Alcântara de Farias Borba | Naira Maria Alves Pinto | Robson Gomes dos Santos | Selma Leite de Vasconcelos | Zelma Helena Farias Santana Silva REVISÃO LINGUÍSTICA Álvaro Vinícius de Moraes Barbosa Duarte | Edigilson Ferreira de Albuquerque | Pedro Bernnardo | Zelma Helena Farias Santana Silva PROJETO GRÁFICO E EDITORAÇÃO DE TEXTOS Ana Rios | Laís Mayara Mira Cavalcanti | Robson Cavalcanti CATALOGAÇÃO NA FONTE Ficha Catalográfica elaborada pela Equipe de Bibliotecários da Secretaria de Educação do Estado de Pernambuco: Ana Cláudia Gouveia CRB-4/1505 | Fabiana Belo CRB-4/1463 P452s Pernambuco (Estado). Secretaria de Educação. Seguranças de Redes e Informações / Secretaria de Educação do Estado de Pernambuco, Organizado por Dailson Fernandes. - Recife: SEE, 2010. v. 1; 92 p. : il. Inclui bibliografia. Conteúdo: v.1. Introdução, classificação da informação e papéis no mundo virtual; Tipos de ataques, pragas virtuais e políticas de segurança e normas ; Segurança lógica, Ferramentas de proteção v. 2. Ferramentas de proteção de perímetro; Autoridade certificadora e PKI; Políticas de segurança, segurança wireless. 1. Informática. 2. Segurança de redes, 3. Segurança da informação. I. SEE II. Fernades, Dailson. III. Título. 004.056.53 CDU (2. ed.) SEE-PE
  • 3. SUMÁRIO PROGRAMA DA DISCIPLINA 06 CONTEÚDO PROGRAMÁTICO 07 APRESENTAÇÃO DA DISCIPLINA 08 1 O QUE É SEGURANÇA DA INFORMAÇÃO? 10 1.1 Confidencialidade 11 1.2 Autenticação 11 1.3 Integridade e não-repúdio da mensagem 12 1.4 Disponibilidade e controle de acesso 13 1.5 Quais os objetivos da segurança da informação? 15 1.6 Por que a segurança da Informação é necessária 16 1.7 O Porquê da Invasão 16 1.8 Por que devo me preocupar com a segurança do meu computador? 18 1.9 Por que alguém iria querer invadir meu computador? 18 1.9.1 Quem são as pessoas que poderiam tentar invadir o meu computador ? 19 1.10 White-Hats 20 1.11 Gray hat 20 1.12 Black-Hats 21 1.13 Defacers 21 1.14 Crackers 22 1.15 Phreakers 23 1.16 Lammer 23 1.17 Newbie 24 1.18 Qual o Perfil de um Hacker? 24 1.19 Conheça um pouco da história do Hacker mais famoso de todos os tempos - Operação “TakeDown” 26
  • 4. 1.20 O Profissional da Segurança da Informação - O Security Officer 29 1.21 Quais os prejuízos da ausência de uma política de segurança da informação? 31 BIBLIOGRAFIA 35 2 T I P O S D E ATA Q U E S A R E D E S D E COMPUTADORES 37 2.1 Vírus 38 2.2 Worms 38 2.3 Spywares 39 2.4 Hijackers 40 2.5 Vírus de Macro 40 2.6 Exploits 40 2.7 Rootkits 41 2.8 Backdoors 41 2.9 Password Crackers 42 2.10 Mail Bomb 42 2.11 Key Loggers 43 2.12 Mouse Loggers 43 2.13 Spam 43 2.14 Phishing 44 2.15 Sniffing 44 2.16 Probing ou Footprinting 45 2.17 Buffer Overflow 45 2.18 Denial Of Services (DOS) 45 2.19 Spoofing 46 2.20 Phreaking 46 2.21 Smurf 47 2.22 Scamming 47 2.23 Teclado virtual falso 47 2.24 DNS Poisoning 48
  • 5. 2.25 BHOs - Browser Helper Objects 48 2.26 Clonagem de URLs 48 2.27 Scanning de memória/DLL Injection 48 2.28 SQL Injection 48 2.29 Bots 50 2.30 HOAX 51 2.31 Engenharia Social 52 3 METODOLOGIAS E MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO 54 3.1 COBIT 54 3.2 BS 7799 55 3.3 Como as empresas se tornam certificadas nas normas BS 7799 ou isso 17799 ? 56 4 FERRAMENTAS DE PROTEÇÃO 62 4.1 Anti-Vírus 62 4.2 Firewall 65 4.2.1 Como o firewall pessoal funciona? 67 4.2.2 Por que devo instalar um firewall pessoal em meu computador? 68 4.2.3 Como posso saber se estão tentando invadir meu computador? 68 4.2.4 Conheça alguns Firewalls Pessoais 70 4.3 AntiSpyware 78 4.3.1 Como o computador fica infectado com um Spyware? 78 4.3.2 Como os AntiSpywares funcionam ? 79 4.3.3 Livrando meu sistema de Spywares 80 4.4 AntiSpam 83 4.4.1 Conhecendo alguns AntiSpam do Mercado 86 4.5 AntiPhishing 87 4.6 AntiKeylogger 88
  • 6. PROGRAMA DA DISCIPLINA Disciplina: Segurança de Redes e Informações Prof.: Dailson Fernandes Carga horária:60hs Ementa Conceito de informação e dados; valor da informação e do dado para alguma organização ou pessoa; atributos de segurança – confidencialidade, integridade e disponibilidade; níveis de segurança; riscos associados à falta de segurança; benefícios; custos de implementação dos mecanismos de segurança; tipos de mecanismos de segurança: mecanismos de criptografia; assinatura e certificação digital; mecanismos de controle de acesso; mecanismos de certificação; princípios básicos de segurança, segurança física, segurança lógica, ameaças a segurança, estatísticas, perfil dos atacantes, problemas de segurança inerentes ao TCP/IP; ferramentas de análise; políticas de segurança. Objetivo Geral O Curso objetiva desenvolver competências da área de informática, especificamente, na atividade de desenvolvimento de software, voltada para o trabalho em diversos setores, principalmente, para o comércio e processos administrativos, principais atividades do perfil econômico dos municípios no interior de Pernambuco. Como também, formar profissionais com visão empresarial e de gestão de negócios capazes de criarem seu próprio empreendimento. Objetivos Específicos 1 Formar profissionais capazes de automatizar processos administrativos através do uso de softwares adequados; 06
  • 7. 2 Formar profissionais aptos a desenvolverem programas comerciais em linguagem de alto nível para microcomputadores (em versão desktop ou Web); 3 Formar profissionais capazes de empreenderem negócios na área de Informática e com visão empreendedora para desbravar nichos de mercado locais. CONTEÚDO PROGRAMÁTICO Volume 1 Unidade 1 Introdução, classificação da informação e papéis no mundo virtual. Unidade 2 Tipos de ataques, pragas virtuais e políticas de segurança e normas. Unidade 3 Segurança lógica, Ferramentas de proteção Volume 2 Unidade 4 Ferramentas de proteção de perímetro Unidade 5 Autoridade certificadora e PKI Unidade 6 Políticas de segurança, segurança wireless 07
  • 8. APRESENTAÇÃO DA DISCIPLINA Caro Aluno(a) seja bem vindo(a) à disciplina de Segurança de Redes e Informações. Ela objetiva apresentar a importância do bem mais valioso da humanidade: a informação. Se o valor de uma informação é alto, claro que temos pessoas interessadas em usurpar, mudar, alterar, roubar e tirar proveito em cima desse bem. Então, o que fazer para proteger informações, equipamentos e pessoas envolvidas em um sistema computacional? A contribuição imediata dessa disciplina é trazer a oportunidade de conhecer termos profissionais, normas, ferramentas, programas e pessoas envolvidas na segurança da informação. Essa, com certeza, é uma excelente chance conhecer uma das áreas mais obscuras e menos documentadas da Tecnologia da Informação. O foco principal dessa disciplina é apresentar aspectos de segurança física e lógica dos sistemas computacionais. É nosso foco aqui conhecer os termos utilizados nessa área, os profissionais envolvidos, as formas de ataques, as formas de prevenção, as certificações e algumas normas. A disciplina será apresentada em dois volumes, sendo que no primeiro serão desenvolvidos os seguintes temas: conceitos básicos de segurança, segurança física versus segurança lógica, profissionais envolvidos com a segurança informacional, normas e certificações da área, principais ataques, principais pragas do mundo virtual, confidencialidade, disponibilidade, integridade, equipamentos utilizados na segurança física e políticas de segurança. Na segunda parte do curso, você conhecerá as principais ferramentas utilizadas contra os ataques, a segurança lógica, os protocolos seguros, os conceitos de criptografia, a autoridade certificadora e o tráfego seguro de informações, bem como abordaremos a segurança em redes wireless. Bons Estudos! 08
  • 9. UNIDADE 1 Introdução Figura1.jpg fonte: http://cgi.br Em relação a bens materiais, o que você acha que tem de mais valioso no mundo atual? Bens móveis? Imóveis? Carros? Empreendimentos? Ações na bolsa? Dinheiro? Claro que todos os itens citados têm seu devido valor em um mundo capitalista, basta você analisar como todo tipo de informação hoje é gerenciado, por exemplo: Como seu dinheiro é guardado no banco? Será que as cédulas que você depositou ou recebeu de salário estão lá fisicamente em algum lugar ou será que são dados/informações que são manipuladas por computadores e sistemas? Sem sombra de dúvida, muitas das riquezas e poder econômico não são vistos fisicamente, mas são informações, dados e números. Repetindo a pergunta: “O que temos de mais valioso hoje?” Com certeza, o valor de uma informação, dependendo do contexto, é incalculável. Mas nós, como usuários, onde entramos nessa cadeia de informações? Eu, como um usuário comum na internet, usando MSN, bate-papo, orkut ou qualquer outro serviço, estou correndo algum risco? Por que alguém teria interesse no seu computador? Você acha que alguém invadiria sua máquina? Roubaria algum dado seu? Com certeza, isso é possível e pode estar acontecendo agora enquanto você está lendo este fascículo. 09
  • 10. 1 O QUE É SEGURANÇA DA INFORMAÇÃO? A informação é um ativo que, como qualquer outro, tem um valor para a organização e, consequentemente, necessita de ser adequadamente protegido. A segurança protege a informação de diversos tipos de ameaças, garantindo a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e das oportunidades. A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados e à utilização não autorizada do computador ou de seus dispositivos periféricos. A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos e dos objetivos de uma organização, formalizados nos termos de uma política de segurança. Para entendermos bem o conceito de Segurança da Informação, precisamos conhecer os pilares dessa área da Tecnologia. São eles: Confidencialidade, autenticação, integridade, não-repúdio, disponibilidade e controle de acesso. Como identificados na figura 2. Figura 2 Fonte: http://www.solutioninf.com/info.htm 10
  • 11. 1.1 Confidencialidade Somente o remetente e o destinatário pretendido devem entender o conteúdo da mensagem transmitida. O fato de intrusos poderem interceptar a mensagem exige, necessariamente, que esta seja cifrada (maneira de disfarçar os dados, também conhecida como criptografia) para impedir que uma mensagem interceptada seja decifrada (entendida, ou ainda descriptografada) por um interceptador. Esse aspecto de confidencialidade é, provavelmente, o significado mais comumente percebido na expressão comunicação segura. Note, contudo, que essa não é apenas uma definição limitada de comunicação segura. Existem muitas outras vertentes que devem ser consideradas. Essa apenas trata da confidencialidade da mensagem, ou seja, a mensagem só deve ser lida pelo destinatário especificado, nenhuma outra pessoa será capaz de ler a mensagem. 1.2 Autenticação O remetente e o destinatário precisam confirmar a identidade de outra parte envolvida na comunicação – confirmar que a outra parte realmente é quem alega ser. No caso do nosso dia-a-dia é fácil fazer isso, pois basta olharmos e reconhecermos alguém ou escutarmos alguma voz e nós permitimos (autenticamos) que entrem na nossa casa ou ainda use algum bem nosso. Mas como autenticar alguém via computador? Como o computador reconhece que João é João mesmo, e não é outra pessoa que está tentando se passar por ele? Por exemplo, como ter certeza de que o e-mail que você acabou de receber de seu pai ou sua mãe foi realmente escrito por eles? Claro, você pode argumentar que o assunto abordado, as palavras e o jeito de escrever são do seu pai ou da sua mãe, mas se esse email foi interceptado e propositadamente alterado? Ou, ainda, podemos citar um exemplo mais profissional, como saber que o extrato enviado do banco para sua conta corrente não foi alterado? 11
  • 12. Para ter certeza de alguma dessas operações, precisamos da autenticação, ou seja, que o remetente seja autêntico, que confirme ser quem ele é. Existem diversos tipos de procedimentos para fazer a autenticação de uma pessoa, por exemplo, toda vez que você entra no Ambiente Virtual de Aprendizagem para ler suas aulas, passa por um processo de autenticação, precisando informar usuário e senha. Diante disso, o sistema reconhece que o usuário é autêntico, que pode ler as aulas on-line e acessar dados pessoais. Mas então eu lhe pergunto: E se alguém viu a sua senha e depois entrou com seu usuário e senha? Como o Ambiente Virtual de Aprendizagem irá saber que aquele não é um acesso legítimo? Bom, mais adiante no nosso curso, iremos aprender que existem outros tipos de autenticação que evitaria esse tipo tão comum de invasão. 1.3 Integridade e não-repúdio da mensagem Mesmo que o remetente e o destinatário de uma mensagem consigam se autenticar mutuamente, eles precisam saber que a mensagem não foi alterada durante o caminho. O valor da informação deve ser imutável durante todo o percurso. Imagine um email enviado de Taquaritinga para Tókio no Japão, ele passará por diversos meios de transmissão, roteadores, links, backbones e ativos de rede. Como garantir que nesse enorme percurso não há um dispositivo malicioso ou ainda uma pessoa mal intencionada que altere o conteúdo da mensagem? Para nossa felicidade, existem meios de manter a mensagem íntegra (com seu conteúdo imutável ao longo de todo o caminho) para que ela seja recebida pelo destinatário e haja o não- repúdio. O não-repúdio é uma técnica usada para garantir que alguém que esteja executando uma ação em um computador não possa negar falsamente que realizou tal ação. O não-repúdio oferece uma prova suficientemente inegável de que o usuário ou dispositivo efetuou uma 12
  • 13. determinada ação, como transferência de dinheiro, autorização de compra ou envio de uma mensagem. 1.4 Disponibilidade e controle de acesso A paranóia dos administradores de redes e profissionais de segurança em proteger os dados esbarra em um dos pilares mais importantes da Segurança da Informação: a disponibilidade. Manter os dados seguros e disponíveis é o grande desafio, pois, se houver exagero na segurança, posso negar aos usuários legítimos o acesso aos dados que eles desejam manipular. Também preciso garantir que usuários legítimos acessem seus dados. É nessa parte que entra o controle de acesso. O controle de acesso garante que usuários legítimos (verdadeiros) acessem apenas os dados que eles podem acessar. Funciona como em um circo ou em um show. Você pode comprar um ingresso para ver na melhor área, bem perto do palco (conhecida como Área Vip) ou comprar um ingresso mais barato e ver um pouco (ou muito) longe do palco. Note que há um controle de acesso, ou seja, o usuário que pagou mais caro vai ter o direito de entrar em uma área reservada e melhor, quem pagou mais barato, terá que se contentar em estar em uma área um pouco pior. Resumindo... - Confidencialidade: garante que a informação só será acessada por pessoas autorizadas, ou seja, o destinatário sabe exatamente que quem escreveu a mensagem foi o remetente especificado; - Integridade: assegura que a informação deve ser verdadeira e imutável ao longo de qualquer processamento ou transmissão; - Disponibilidade: garante que os usuários autorizados sempre consigam ter acesso à informação e aos ativos correspondentes sempre que necessário. 13
  • 14. - Controle de acesso: Mecanismo que reconhece o usuário e permite que ele acesse apenas os dados que ele tem direito; - Não-repúdio: técnica usada para garantir que alguém que esteja executando uma ação em um computador não possa negar falsamente que realizou tal ação. O não-repúdio oferece uma prova suficientemente inegável de que o usuário ou dispositivo efetuou uma determinada ação, como transferência de dinheiro, autorização de compra ou envio de mensagem. Os pilares acima visam prover os sistemas de informações contra os mais variados tipos de ameaças como, por exemplo: - Revelação de informações: em casos de espionagem; - Fraude: não reconhecimento da origem, modificação de informações, ou mesmo caso de espionagem; - Interrupção: modificação de informações; - Usurpação: modificação de informações, negação de serviços ou espionagem. Para lidar com essas ameaças, torna-se necessária a definição de políticas e mecanismos de segurança, visando dar suporte a: - Prevenção: evitar que invasores violem os mecanismos de segurança; - Detecção: detectar invasão aos mecanismos de segurança; - Recuperação: interromper a ameaça, avaliar e reparar danos, além de manter a operacionalidade do sistema caso ocorra invasão ao sistema. Algumas questões de natureza operacional surgem em decorrência da necessidade de prover suporte à segurança de sistemas de informações, tais como: - É menos dispendioso prevenir ou corrigir danos? - Qual o grau de segurança a ser imposto aos sistemas de 14
  • 15. informações? - Qual o nível de legalidade das medidas de segurança desejadas? [Silva Filho, 2006] Outro pilar que devemos usar para embasar a segurança da informação é a segurança física e ambiental, de forma a garantir que o ambiente de processamento de dados possua acesso restrito apenas às pessoas autorizadas, ou seja, protegidos contra acidentes, sejam eles de origem natural ou não. Essa diretriz reza que, mesmo em caso de acidentes e seja ele de que proporção for (como incêndios, ataque terrorista ou roubo), as informações sejam recuperadas de forma íntegra e segura. 1.5 Quais os objetivos da segurança da informação? Antes de pensar em qualquer tipo de segurança da informação, devemos responder aos seguintes questionamentos: - O que devemos proteger? - Contra quem ou contra o que? - Quais as ameaças prováveis? - Qual a importância de cada recurso? - Qual o grau de proteção desejado? - Quanto tempo e quantos recursos humanos e financeiros pretendemos gastar para atingirmos os objetivos de segurança desejados? - Quais as consequências para a organização se os sistemas e as informações forem corrompidos ou roubados? Com base nessas informações, é possível definir os objetivos e a abrangência da segurança da informação que uma organização deverá implementar. 15
  • 16. 1.6 Por que a segurança da Informação é necessária O grande e imensurável valor da informação faz com que sejam criados e mantidos artefatos para que a informação continue disponível, íntegra e confidencial. Proteger as informações de uma empresa é essencial para preservar a competitividade, o faturamento a lucratividade o atendimento aos requisitos legais e a imagem da organização perante o mercado e os clientes. Cada vez mais, os sistemas de informação e de redes de computadores das organizações são colocados à prova por diversos tipos de ameaças, de uma variedade de fontes, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo e inundação. Problemas causados por hackers, vírus e ataques de rede estão se tornado cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A dependência dos sistemas de informação e serviços significa que as organizações estão mais vulneráveis às ameaças de segurança. A conexão de redes públicas e privadas e o compartilhamento de recurso aumentam as dificuldades públicas e privadas e o compartilhamento de recursos ampliam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente. 1.7 O Porquê da Invasão Figura3.jpg Fonte: http://djracker.blogspot.com/ 16
  • 17. As empresas hoje em dia investem quantias fantásticas em segurança, mas não no Brasil. O retrato do descaso à segurança de informações no Brasil é claramente traduzido na falta de leis. Além disso, existe um fator agravante: quando existir o interesse em elaborar tais leis, ocorrerá por indivíduos que não tem por objetivo principal a segurança em si. O resultado serão leis absurdas, que irão atrapalhar mais do que ajudar. Um exemplo disso é o que vem ocorrendo em alguns estados nos EUA. Neles, a lei chega a ser tão restritiva, que até testes de vulnerabilidade são considerados ilegais, mesmo com o consentimento da empresa contratante do serviço. Isso no aspecto empresarial. Para se ter leis cabíveis e funcionais, deveríamos ter técnicos e analistas aplicando as leis e não deputados e senadores sem conhecimento técnico da área. Como forma de minimizar estes efeitos, os homens do poder legislativo deveriam ser bem assessorados por profissionais da área. No caso do usuário final, este fica entregue à sorte. Ele deverá se preocupar com a proteção do seu computador e, muitas vezes, de forma desordenada e utilizando programas e procedimentos geralmente indicados por pessoas que apenas acham, mas não sabem de fato o que está fazendo. E geralmente um programinha instalado, ou duas ou três ferramentas, deixam a sensação de proteção quando na verdade “a casa está aberta” e o ladrão pode chegar a qualquer hora. De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nível de segurança de quem acessa a Internet por um link, seja ele discado, velox, via satélite ou os modems 3G. É justamente nesse nicho de mercado onde estão as principais vítimas, que inclusive, não são notícia no dia seguinte a uma invasão. Como estamos discutindo segurança, podemos começar a 17
  • 18. falar da segurança pessoal, ou melhor, a segurança do meu computador. Porque alguém tentaria invadir o meu computador? Ou ainda, por que devo me preocupar com isso? [Cholewa 2001] 1.8 Por que devo me preocupar com a segurança do meu computador? Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços ou utilizadas para comunicação através de emails, armazenamento de dados pessoais ou comerciais. É importante que você se preocupe com a segurança de seu computador, pois provavelmente não gostaria que: - Suas senhas e números de cartões de créditos fossem furtados e utilizados por terceiros; - Sua conta de acesso à Internet fosse utilizada por alguém não autorizado; - Seus dados pessoais ou, até mesmo, comerciais, fossem alterados, destruídos ou visualizados por terceiros; - Seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados; - Sua senha de email fosse roubada e trocada e a pessoa lhe cobrasse um valor exorbitante para devolver sua conta intacta. 1.9 Por que alguém iria querer invadir meu computador? A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns deles podem ser: - Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; - Manipular seu computador para lançar ataques contra outros 18
  • 19. computadores; - Usar seu disco rígido como repositório de dados; - Destruir informações (vandalismo); - Disseminar mensagens alarmantes e falsas; - Ler e enviar emails em seu nome; - Propagar vírus de computador; - Furtar números de cartões de crédito e senhas bancárias “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br” Vale ressaltar que as ameaças acima podem ser de diversas naturezas e, nesse sentido, as ameaças são, geralmente, classificadas como intrusiva, não intrusiva, maliciosa, não maliciosa. Intrusiva: A pessoa (atacante) conseguiu entrar no seu computador ou rede; Não-Intrusiva: A pessoa (atacante) não conseguiu entrar no seu computador ou rede, porém consegue prejudicar seu acesso a rede ou consegue tirar proveito de algum recurso seu; Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, tem intenção de prejudicá-lo; Não Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, não tem intenção de prejudicá-lo; 1.9.1 Quem são as pessoas que poderiam tentar invadir o meu computador ? Figura_4.png Fonte: http://www.lariaeditutti.org/ 19
  • 20. Quando se fala do ladrão virtual ou aquele que quer invadir um sistema computacional, se fala no termo “Hacker” e isso se generalizou, porém vamos conhecer os termos das pessoas que tentam se aventurar no ramo da segurança. Aqui vamos falar do perfil do “invasor” e vamos ver também que o dito “invasor” nem sempre é um ladrão ou uma pessoa que quer fazer o mal. Na verdade, existem muitas pessoas que invadem ou procuram brechas no sistema para avisar aos donos que existem problemas e que eles cuidem de consertar antes que seja tarde. 1.10 White-Hats Os white-hats são os hackers que exploram problemas de segurança para divulgá-los abertamente, de forma que toda a comunidade tenha acesso a informações sobre como se proteger. Desejam abolir a “segurança por obscuridade”, que nada mais é do que tentar proteger ou manter a segurança pelo segredo de informações sobre o funcionamento de uma rede, versão do sistema operacional ou tipos e marcas dos programas em geral. Seu lema é o “full disclosure”, ou conhecimento aberto, acessível a todos. Alguns adotam também a filosofia de “moderated disclosure”, ou conhecimento moderado, liberando informações sobre como funciona um bug (falha de um programa) ou vulnerabilidade, mas sem liberar, na maioria das vezes, o que chamamos de “exploit”, ou código que permite explorar a vulnerabilidade de um programa ou sistema. Os White-hat são do bem e procuram ajudar! 1.11 Gray hat O Gray hat tem as habilidades e intenções de um hacker de chapéu branco (White-hat) na maioria dos casos, mas, por vezes, utiliza seu conhecimento para propósitos menos nobres. Um hacker de chapéu cinza (Gray-hat) pode ser descrito como um hacker de 20
  • 21. chapéu branco que, às vezes, veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a confidencialidade. Alguns argumentam, no entanto, que o ato de penetrar em um sistema por si só já é antiético. 1.12 Black-Hats Figura_5.jpg Fonte: www.wired.com Descrição: Símbolo do Black-Hat Ao contrário dos white-hats, apesar de movidos também pela curiosidade, usam suas descobertas e habilidades em favor próprio, em esquemas de extorsão, chantagem de algum tipo, ou qualquer esquema que venha a trazer algum benefício ilícito. Esses são extremamente perigosos e difíceis de identificar, pois nunca tentarão chamar a atenção. Agem da forma mais furtiva possível. 1.13 Defacers Os defacers, na grande maioria das vezes, são organizados em grupos. São, geralmente, muito jovens e, algumas vezes, já atuam com apenas 12 anos. Usam seus conhecimentos para invadir servidores que possuam páginas web e tem por objetivo modificar essas páginas. 21
  • 22. Obviamente, mudar a página principal de um site famoso dá certa quantidade de “exposição”, tornando o “hacker”, ou o grupo, conhecido na comunidade. Muitos analistas sugerem que a grande motivação desses grupos é justamente se tornarem conhecidos na comunidade e, de certa forma, “provarem” que são capazes. Muitas vezes, ocorrem disputas entre grupos de defacers, para descobrirem quem consegue desfigurar o maior número de sites no menor tempo. Apesar da maioria esmagadora dos defacers negar, eles são, por amostragem, “pichadores” digitais. Geralmente, não criam ou descobrem novas vulnerabilidades. Apenas usam o que já foi descoberto recentemente, se aproveitando do atraso entre a publicação de uma falha e a publicação/aplicação de correções. Existem inúmeros grupos de defacers Brasileiros e muitos deles são considerados os “mais eficazes e rápidos” do mundo. Frequentemente, utilizam o IRC (Internet Relay Chat – ou bate-papo online). Estatísticas de sites especializados demonstram que o Brasil, hoje, resguardando as devidas proporções, é um dos Países do mundo que mais sofre com defacements. Isso está diretamente relacionado com a “qualidade” e o nível técnico dos “hackers” em nosso País. 1.14 Crackers As denominações para os crackers são muitas. Alguns classificam de crackers, aqueles que têm por objetivo invadir sistemas em rede ou computadores apenas pelo desafio. Contudo, historicamente, o nome “cracker” tem uma relação com a modificação de código, para obter funcionalidades que não existem, ou, de certa forma, limitadas. Um exemplo clássico são os diversos grupos existentes na Internet, que tem por finalidade criar “patches” ou 22
  • 23. mesmo “cracks” que modificam programas comerciais (limitados por mecanismos de tempo, por exemplo, como shareware), permitindo seu uso irrestrito, sem limitação alguma. No caso de invasão a sistemas, o cracker e os black-hats têm a mesma função. 1.15 Phreakers Apesar de muitos considerarem um cientista russo chamado Nicola Tesla (realizador de experiências elétricas assustadoras até os dias de hoje) como o primeiro hacker da história, os primeiros hackers da era digital lidavam com telefonia. Sua especialidade era interferir com o curso normal de funcionamento das centrais telefônicas, mudar rotas, números, realizar chamadas sem tarifação, bem como proceder a chamadas sem serem detectados. Com a informatização das centrais telefônicas, ficou inclusive mais fácil e acessível o comprometimento de tais informações. Kevin Mitnick, considerado o maior hacker de todos os tempos, era um ótimo phreaker. Na fase final de sua captura, quando os agentes de governo ajudados pelo Sr. Tsutomu Shimomura, especialista de segurança do SDSC (San Diego Supercomputing Center), estavam chegando a um nome, ele conseguia enganar as investigações através do controle que tinha da rede de telefonia da GTE (uma das concessionárias telefônicas nos EUA). 1.16 Lammer O termo “lammer” indica uma pessoa que crê ser um hacker (decifrador) e demonstra grande arrogância, no entanto sabe pouco ou muito pouco sobre o assunto e é geralmente malicioso. O lammer utiliza ferramentas criadas por crackers para demonstrar sua suposta capacidade ou poder, na intenção de competir por reputação, no entanto são extremamente inconvenientes para convívio social, 23
  • 24. mesmo com outros hackers. Algumas pessoas acreditam que essa é uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade. Os lammers ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, ou divulgam abertamente suas “façanhas”, e usam em 99% dos casos scripts ou exploits conhecidos, já divulgados, denominadas “receitas de bolo”, facilmente encontradas em sites como http://www.milw0rm.com, http://www.packetstormsecurity.org ou http://securiteam.com. Estes possuem relação direta com a maioria dos usuários da Internet Brasileira. São facilmente encontrados em fóruns de discussão sobre o tema, e principalmente no IRC. A maioria não possui escrúpulo algum, portanto, tomar medidas de cautela é aconselhável. Os lammers geralmente atacam sem uma razão ou objetivo, apenas para testar ou treinar suas descobertas, fazendo dos usuários da Internet seus potenciais alvos. [Cholewa 2001] 1.17 Newbie Newbie, noob ou a sigla NB vem do inglês "novato". Indica uma pessoa aprendiz na área, ainda sem muita habilidade, porém que possui uma sede de conhecimento notável. Ele pergunta muito, mas é frequentemente ignorado ou ridicularizado por outros novatos que sabem mais do que ele (ao contrario dos lammers que são ridicularizados por todos). Hackers experientes normalmente não ridicularizam os novatos, por respeito ao desejo de aprender – no entanto, podem ignorá-los por falta de tempo ou paciência. 1.18 Qual o Perfil de um Hacker? O perfil típico do hacker é: jovem entre 15 e 25 anos, com amplo conhecimento de programação (geralmente em linguagens como C, C++, Java e Assembler), e noções de redes e Internet. O mais 24
  • 25. interessante é que, no Brasil, a grande maioria dos “hackers” começa cedo (algumas vezes com menos de 12 anos) em conhecimentos de programação nas linguagens citadas acima. Muitos deles se esquecem da importância do funcionamento da Internet e de redes em si, o que, de certa forma, é algo bom. A atuação e força de tais “hackers” seriam bem mais poderosas caso aliassem o conhecimento em redes e Internet ao conhecimento em linguagens de programação. As afirmações acima nos levam a uma conclusão: a grande maioria dos hackers entre 12 e 25 anos não desenvolve vulnerabilidades, apenas copiam vulnerabilidades publicadas em sites especializados e fazem uso destas em massa, antes que qualquer tentativa de correção seja humanamente possível ou viável. Notadamente, devemos deixar claro que muitos “hackers” trabalham verdadeiramente empenhados em descobrir falhas e ajudar os usuários de tecnologia a se protegerem. O termo “hacker” tem sido muito usado ultimamente, mas com uma conotação não muito acertada. Muitas vezes, o termo tem sido associado a reportagens e publicações que distorcem o seu verdadeiro sentido. De qualquer forma, a maioria das empresas desenvolvedoras de software (principalmente sistemas operacionais ou software com aplicações específicas em redes ou segurança), publica correções no período de 24 a 48 horas (ou menos que isso) após a divulgação de uma vulnerabilidade na Internet. Isso só ocorre hoje por causa da pressão natural do mercado em exigir uma resposta, diante da publicação de uma falha. Devemos, então, agradecer, diretamente, aos especialistas em segurança e aos verdadeiros “hackers” por permitir que tal processo funcione. 25
  • 26. 1.19 Conheça um pouco da história do Hacker mais famoso de todos os tempos - Operação “TakeDown” Para entender melhor o que pensa um típico black-hat, um phreaker, e um white-hat, analisemos o caso de Kevin Mitnick e Tsutomu Shimomura. Kevin Mitnick a um bom tempo (meados dos anos 80) já havia sido investigado pela polícia, por atividades ilícitas ligadas à segurança de computadores, sempre relacionadas à sua atuação como hacker. Por volta de 1992, Tsutomu Shimomura e outro hacker conhecido chamado Mark Lotto desmontaram o código do sistema operacional de um celular da OKI, através de engenharia reversa. Tsutomu trabalhava como consultor para a Motorola. Ninguém sabe ao certo o que fez Kevin tentar invadir as máquinas de Tsutomu, contudo, a comunidade tem uma certeza: não foi um ataque simples, foi algo planejado. Tudo indica que o objetivo de Kevin era conseguir obter os códigos-fonte dos celulares que Tsutomu possuía, para posteriormente vendê-los. Figura: Mitnick.jpg Descrição: Kevin Mitnick Fonte:destruídos.com 26
  • 27. Tudo começou quando ele conseguiu controlar as centrais telefônicas da GTE. Kevin discava de um celular e raramente de casa, de uma cidade chamada Raleigh, na Carolina do Norte, USA. Assim, invadiu as máquinas de um provedor chamado The Well, que usava para ter acesso à Internet. Ele usou como ponto de partida os servidores do “The Well” para o ataque. Também comprometeu estações e servidores no provedor “Toad.com”. Perceba que, tanto o “The Well” como o “Toad.com” são considerados os pilares da comunidade da Internet que conhecemos hoje. Enquanto isso, aproveitou seu acesso “invisível” através do “The Well”, para invadir outro provedor, chamado NetCom, de onde roubou milhares de números de cartões de crédito. Após o roubo dos números, invadiu uma máquina em Toad.com. De lá, iniciou o ataque à rede de Tsutomu Shimomura. Através de um antigo exploit do finger, e usando um pouco de port scanning, ele conseguiu descobrir que uma máquina de Tsutomu, chamada Ariel, tinha uma relação de confiança com outra máquina na rede de Tsutomu. Ele tirou essa máquina do ar através de um ataque do tipo DoS (Denial of Service), e utilizou uma técnica chamada IP Spoofing, para a máquina Ariel “pensar” que estava sendo acessada pela máquina na qual confiava. Daí pra frente ficou fácil. Observe que Kevin usou de uma série de artifícios para não ser detectado, desde a sua ligação telefônica até seu acesso aos computadores de Tsutomu, e que sua motivação também era financeira. Inclusive, muitos dos métodos usados por ele são amplamente divulgados hoje em dia. Tsutomu conseguiu chegar a Kevin devido a um rastro deixado em Ariel. Descobriu então, que as conexões tinham partido de Toad.com. Assim, iniciou uma caçada, que vários meses depois, chegou em Raleigh, e culminou com a captura do Kevin (com ajuda do FBI) em fevereiro de 1995, através do sinal de seu celular, que usava 27
  • 28. para se conectar. O mais interessante de tudo é que Kevin não era especialista em UNIX (sistema usado por Tsutomu, pelo Toad.com e pela Well). Ele era, na verdade, especialista em VMS / VAX, um sistema da Digital e parecia ter profundos conhecimentos sobre os sistemas da Digital. Tudo indica que Kevin seguiu várias dicas de alguém em Israel, que, até hoje, ninguém conseguiu identificar. Kevin forneceu várias informações sobre como invadir sistemas VMS / VAX e recebeu as dicas de como usar o IP spoofing, que, na época, era uma técnica recente, nunca testada, apenas discutida academicamente. Existe um site na Internet que possui um log demonstrando a sessão de telnet que Kevin usou; algumas chamadas que ele teria realizado para o Mark Lotto, demonstrando seu interesse pelo código fonte dos celulares, e algumas gravações da secretária telefônica do Tsutomu, que, supostamente, teriam sido feitas pelo Kevin. O site pode ser acessado em: http://www.takedown.com Existem também dois livros que contam essa história. Um com a visão de Kevin, escrito pelo Jonattan Littman, e outro com a visão de Tsutomu, escrito por John Markoff em conjunto com ele. Esse último possui uma edição nacional, pela Companhia das Letras. Chama-se “Contra-Ataque”. O livro escrito pelo Littman chama-se “The Fugitive Game: online with Kevin Mitnick”. Ambos podem ser encontrados online em livrarias como Amazon.com por menos de 20 dólares cada. Kevin Mitnick foi solto em 21 de janeiro de 2000. [Cholewa 2001] Hoje Kevin Mitnick tem uma empresa em consultoria de segurança e escreveu dois livros: “A Arte de Enganar“ e “A Arte de Invadir”. Recomendamos fortemente a leitura desses dois livros e o filme “Operação Takedown 2”, que conta essa incrível história. 28
  • 29. 1.20 O Profissional da Segurança da Informação – O Security Officer Figura: Security.jpg Fonte: http://dominioti.files.wordpress.com Sabemos, até então, quem está do “outro lado da linha”, ou seja, aquele que vem à nossa rede ou máquina e procura brechas, sejam para satisfação pessoal, curiosidade, estudo ou roubo. Mas quem deve cuidar para que isso seja evitado? Qual o profissional que deve cuidar da integridade, disponibilidade e confidencialidade das informações de uma organização? Quem deve manter a segurança de uma organização? Quem deve propor procedimentos e prover ferramentas para manter os “hackers” longe? Esse profissional se chama Security Officer. Detalhando, de acordo com as melhores práticas existentes no mercado, as funções de um Security Officer são: - Organização da área de segurança e da infra-estrutura organizacional para o tratamento da segurança da empresa; - Planejamento dos investimentos para a segurança da informação; - Definição dos índices e indicadores para análise do retorno do investimento; - Orientação e coordenação da equipe de segurança ou da 29
  • 30. consultoria terceirizada; - Definição, elaboração, divulgação, treinamento, implementação e administração das seguintes atividades: - O plano estratégico de segurança; - A política de segurança; - Análise de risco; - Plano de auditoria de segurança; - Relatórios de diagnóstico do nível de segurança; - Conformidade e atendimento à legislação vigente; - Investigações sobre incidentes de segurança. É de suma importância que o Security Officer conheça o negócio da organização, seu plano de negócios, modelos de gestão e tecnologias disponíveis para manter a segurança da informação. A área da segurança da informação deve existir independente da corporação, ligado diretamente à diretoria ou presidência. Não deverá estar ligado nem à área de informática nem à de auditoria. Sua função é a de manter e garantir que a política de segurança esteja sendo realmente seguida pela organização. Hoje, por questão de custos e também falta de visão de muitas organizações, a função de security officer é acumulada com a função de sysadmin. O sysadmin, também conhecido como administrador de redes é o profissional voltado a manter todos os serviços, servidores de rede e computadores de uma organização funcionando de forma estável e confiável. Porém, o sysadmin além de se preocupar com a infra-estrutura da empresa, também tem que estar atento à segurança da organização também. Na maioria das vezes, o profissional não faz os dois serviços da forma que deveria fazer. Deixando uma das áreas debilitadas, pois estas demandam muitos procedimentos e ferramentas, sendo, pois, quase impossível sua manutenção por um único profissional. 30
  • 31. 1.21 Quais os prejuízos da ausência de uma política de segurança da informação? Estima-se, através de levantamentos feitos por entidades idôneas da área, que, a cada incidente de segurança, se gasta em torno de R$ 200.000,00 (duzentos mil reais) e 68 dias de trabalho perdido, isso quando está se falando de grandes organizações. Um excelente exemplo nos dias atuais (Julho/2009) é uma grande operadora de telefonia que atua no estado de São Paulo e que está sendo vítima de diversos tipos de ataques de negação de serviço (conhecidos como DDoS ou DOS) que indisponibiliza os serviços de internet para seus clientes. O prejuízo é enorme, pois são milhares de clientes que ficam sem conexão com a internet em suas casas e empresas, clientes corporativos que mantém outros tipos de serviços com a operadora e o Ministério Público que já puniu a empresa algumas vezes com multa e determinando que ela não possa oferecer o serviço para novos clientes enquanto não resolver o problema. SAIBA MAIS http://migre.me/4GoK http://migre.me/4Gps http://migre.me/4Gpv http://migre.me/4GpD http://migre.me/4GpO Você consegue imaginar o tamanho do prejuízo? Tanto financeiro quanto para a imagem da referida empresa? Abordaremos a seguir alguns tópicos de empresas que não tem a política de segurança da informação como um de seus pilares: - Imagem e credibilidade afetadas; 31
  • 32. - Aumento de despesas com prejuízos por paralisação do negócio e vazamento de informações; - Perda por fraudes e erros; - Novas aplicações e negócios viabilizados sem segurança; - Inexistência de segurança adequada para a continuidade dos negócios; - Ausência de controle das informações custodiadas; - Possibilidade de tarefas serem executadas sem padronização e formalização, tais como concessão de acesso a um novo funcionário sem o conhecimento do responsável que, efetivamente, deveria realizá-lo; - Informações ou programas podem ser acessados de forma indiscriminada sem autorização e controle de acesso; - Falta de monitoramento das atividades da rede, fazendo com que mesmo que ocorra uma invasão, ela jamais tenha sido descoberta ou catalogada; - Divulgação de dados confidenciais da empresa ou clientes que trariam prejuízos incalculáveis. 32
  • 33. RESUMO A Segurança da Informação é um conjunto de procedimentos que envolve pessoas, ferramentas, procedimentos e equipamentos. Política de Segurança é um conjunto de regras que mantém a segurança em instituições e em ambiente corporativo Os pilares da Segurança da Informação são: Confidencialidade, autenticação, integridade, não-repúdio, disponibilidade e controle de acesso Confidencialidade: garantia que a informação só será acessada por pessoas autorizadas, ou seja, o destinatário da mensagem sabe exatamente que quem escreveu a mensagem foi o remetente especificado; Integridade: assegura que a informação deve ser verdadeira e imutável ao logo de qualquer processamento ou transmissão; Disponibilidade: garantia que os usuários autorizados sempre consigam ter acesso à informação e aos ativos correspondentes sempre que necessário. Controle de Acesso: Mecanismo que reconhece o usuário e permite que ele acesse apenas os dados que ele tem direito; Não-Repúdio: é uma técnica usada para garantir que alguém que esteja executando uma ação em um computador não possa negar falsamente que realizou tal ação. O não-repúdio oferece uma prova suficientemente inegável de que o usuário ou dispositivo efetuou uma determinada ação, como transferência de dinheiro, autorização de compra ou envio de uma mensagem. A Segurança Física e Ambiental deve andar lado a lado com a Segurança da Informação. A Segurança da Informação protege não apenas os dados de uma corporação como seus ativos e funcinários. 33
  • 34. Os motivos de uma invasão são diversos, mas podemos destacar o roubo de informações e o aproveitamento ilícito de equipamentos. As invasões são classificadas em: Intrusiva, Não-Intrusiva, Maliciosa e Não Maliciosa. Invasão Intrusiva: A pessoa (atacante) conseguiu entrar no seu computador ou rede; Invasão Não-Intrusiva: A pessoa (atacante) não conseguiu entrar no seu computador ou rede, porém consegue prejudicar seu acesso a rede ou consegue tirar proveito de algum recurso seu; Invasão Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, tem intenção de prejudicá-lo; Invasão Não Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou computador, não tem intenção de prejudicá-lo; As pessoas que invadem sistemas de computação são conhecidos como Hackers e Crackers. O que diferencia um Hacker de um Cracker é que o Hacker tem objetivos de estudos, aprendizado e ajuda, enquanto o Cracker vem para roubar e destruir. A Operação Takedown foi uma das maiores perseguições a um Hacker no mundo, onde o Hacker Tsutomu Shimomura foi contratado pelo governo americano para capturar de Kevin Mitnick. O Profissional que trabalha com a Segurança da Informação é conhecido como Security Officer. O Profissional que trabalha com Administração de Redes de Computadores é conhecido como Sysadmin. 34
  • 35. BIBLIOGRAFIA CARTILHA DE SEGURANÇA PARA INTERNET. Desenvolvida pelo C E R T. b r , m a n t i d o p e l o N I C . b r . D i s p o n í v e l e m : <http://cartilha.cert.br/>. Acesso em: 12 Jul. 2009. CHOLEWA, Rômulo Moacyr. Agosto 2001. Disponível em: <http://www.rmc.eti.br>. Acesso em: 9 Jul. 2009 FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003 KUROSE, James F. Redes de Computadores e a Internet. 3. ed. São Paulo:Pearson, 2006 S I LVA F I L H O , A n t o n i o M e n d e s d a . D i s p o n í v e l e m : <http://www.espacoacademico.com.br/042/42amsf.htm>. Acesso em: 11 Jul. 2009. 35