Seg redes 1

218 visualizações

Publicada em

SEG REDES

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
218
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
5
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Security Bulletin
    http://video.google.com/videoplay?docid=-987682130144909527&q=%22internet+security%22&hl=en
  • Seg redes 1

    1. 1. Introdução a Segurança da Informação Carlos Sampaio
    2. 2. Conteúdo Programático  Parte 1: A Informação  Parte 2: Conceitos  Parte 3: Por onde começar?  Parte 4: Repositórios de Informação  Parte 5: Genealogia de um Hacker  Parte 6: Ameaças Digitais
    3. 3. PARTE 1  A InformaçãoA Informação
    4. 4. InformaçãoInformação (Michaelis)  do Lat. informatione s. f., Ato ou efeito de informar ou informar-se; Comunicação; Conjunto de conhecimentos sobre alguém ou alguma coisa; Conhecimentos obtidos por alguém; Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens; Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.
    5. 5. PropriedadePropriedade (Michealis)  do Lat. proprietate s. f., Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno; Bens, posses; Patrimônio físico(tangível) e imaterial(intangível).
    6. 6. ConsideraçãoConsideração  E quando o patrimônio é a informação?
    7. 7. Considerações  Segundo a Universidade da Califórnia em Berkeley(2005):  Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB;  Este número cresce em cerca de 700 mil páginas por dia.  Velhos jargões  “O segredo é a alma do negócio”;  Novas tendências  Mundo Globalizado, Ubiqüidade, Acesso a Informação.
    8. 8. PARTE 2  ConceitosConceitos
    9. 9. Axioma de Segurança ““Uma corrente não é mais forteUma corrente não é mais forte que o seu elo mais fraco”que o seu elo mais fraco”
    10. 10. Segurança da Informação  “A segurança da informação é um conjunto de medidas que se constituem basicamente de controlescontroles e política de segurançapolítica de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bensativos/bens), controlando o riscorisco de revelação ou alteração por pessoas não autorizadas.”
    11. 11. Política de Segurança  Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação
    12. 12. Ativos (Bens) Dados  Número de Cartões de Crédito  Planos de Marketing  Códigos Fonte  Informações de RH Serviços  Web sites  Acesso a Internet  Controladores de Domínio  ERP Comunicação  Logins  Transação Financeira  Correio Eletrônico
    13. 13. DefiniçõesDefinições  AmeaçaAmeaça  Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recursorecurso;  VulnerabilidadeVulnerabilidade  Característica de fraqueza de um bem;  Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.
    14. 14. Conceitos BásicosConceitos Básicos  RiscoRisco  A probabilidadeprobabilidade da ocorrência de uma ameaça em particular  A probabilidadeprobabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso
    15. 15. Ameaça, Vulnerabilidade e Risco  Ameaça (evento)  assalto a uma agência bancária  Vulnerabilidade (ponto falho)  liberação manual das portas giratórias pelos vigilantes  Risco  baixobaixo, devido ao percentual de assaltos versus o universo de agências  altoalto, se comparando as tentativas frustradas versus as bem sucedidas
    16. 16. Conceitos Fundamentais  Princípios da Segurança ConfidencialidadeConfidencialidade IntegridadeIntegridade DisponibilidadeDisponibilidade ((AAvailability)vailability) SegurançaSegurança
    17. 17. CIA – ConfidencialidadeCIA – Confidencialidade  Propriedade de manter a informação a salvo de acesso e divulgação nãonão autorizadosautorizados;  Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo donopelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadaspessoas autorizadas.
    18. 18. CIACIA –– IntegridadeIntegridade  Propriedade de manter a informação acurada, completa e atualizada  Princípio de segurança da informação através do qual é garantida a autenticidadeautenticidade da informação  O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico
    19. 19. CIA – DisponibilidadeCIA – Disponibilidade (Availability)(Availability)  Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem  Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente
    20. 20. Princípios AuxiliaresPrincípios Auxiliares Auditoria Autenticação Autorização IdentificaçãoSigilo Métodos - DAC - MAC - RBAC Vias -O que Sou -O que Sei -O que Tenho Controle de Acesso
    21. 21. Controle de AcessoControle de Acesso  Suporta os princípios da CIA  São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.  Em segurança, é suportado pela tríade AAA (definida na RFC 3127)
    22. 22. Auditoria (Accountability)Auditoria (Accountability)  É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;  Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.
    23. 23. AutenticaçãoAutenticação  Propriedade de confirmar a identidade de uma pessoa ou entidade.  Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser
    24. 24. AutorizaçãoAutorização  São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.  Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.
    25. 25. SigiloSigilo  Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema;  Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema. IdentificaçãoIdentificação  Meio pelo qual o usuário apresenta sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização.
    26. 26. Mecanismos de Controle de Acesso
    27. 27. PARTE 3  Onde Começar ?Onde Começar ?
    28. 28. Leis Imutáveis da Segurança  Ninguém acredita que nada de mal possa acontecer até que acontece;  Segurança só funciona se a forma de se manter seguro for uma forma simples;  Se você não realiza as correções de segurança, sua rede não será sua por muito tempo;  Vigilância eterna é o preço da segurança;  Segurança por Obscuridade, não é segurança;  LOGs, se não auditá-los, melhor não tê- los.
    29. 29. Leis Imutáveis da Segurança  Existe realmente alguém tentando quebrar (adivinhar) sua senha;  A rede mais segura é uma rede bem administrada;  A dificuldade de defender uma rede é diretamente proporcional a sua complexidade;  Segurança não se propõe a evitar os riscos, e sim gerenciá-los;  Tecnologia não é tudo. By Scott Pulp – Security Program Manager atBy Scott Pulp – Security Program Manager at Microsoft Security Response CenterMicrosoft Security Response Center
    30. 30. Responsabilidades da Empresa  “Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas” Corporate Politics on the Internet: Connection with Controversy, 1996
    31. 31. Segurança nas Organizações  Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades:  Tecnologia (hardware, software, redes)  Processos (procedimentos, manuais)  Pessoas (cultura, conhecimento)  Estas entidades interagem das formas mais variadas e imprevisíveis  A Segurança falhará se focar apenas em parte do problema  Tecnologia não é nem o problema inteiro, nem a solução inteira
    32. 32. Ciclo de Segurança  Análise da Segurança (Risk Assessment)  Definição e Atualização de Regras de Segurança (Política de Segurança)  Implementação e Divulgação das Regras de Segurança (Implementação)  Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)  Auditorias (Verificação do Cumprimento da Política)
    33. 33. Domínios de Conhecimento  “The International Information Systems Security Certification Consortium, Inc. [(ISC)²]”  http://www.isc2.org  A (ISC)2 define 10 domínios de conhecimento (CBK), para sua certificação introdutória CISSP  Certified Information Systems Security Professional  Common Body of Knowledge
    34. 34. CBK – Common Body Of Knowledge  Security Management Practices  Access Control Systems  Telecommunications and Network Security  Cryptography  Security Architecture and Models  Operations Security  Applications and Systems Development  Business Continuity Planning and Disaster Recovery Planning  Law, Investigation, and Ethics  Physical Security
    35. 35. Outras Certificações  GIAC - Global Information Assurance Certification (Sans.Org)  3 Níveis de Expertise em 5 Áreas de Conhecimento  Níveis  GIAC Silver  2 ou mais testes  GIAC Gold  Silver + Pesquisa e Publicação  GIAC Platinum  Gold em 2 ou mais AC’s + testes(3 dias)  Áreas de Conhecimento  Administração de Segurança  Gerência de Segurança  Operações  Legislação
    36. 36. Outras Certificações  CompTIA – Security+  5 Domínios de Conhecimento  Communication Security  Infrastructure Security  Cryptography  Operational Security  General Security Concepts
    37. 37. Outras Certificações  MCSO – Módulo Certified Security Officer  2 Módulos compreendendo:  Conceitos, Padrões e Aplicações  Fundamentos de Segurança da Informação  Organização de departamentos  Gestão de pessoas  Política de Segurança da Informação.  Gestão de Tecnologias  Windows/Unix  Segurança em redes e telecomunicações  Controle de acesso  Arquitetura e modelos de segurança  Criptografia
    38. 38. Outros Recursos  Academia Latino Americana de Segurança da Informação  Parceria Módulo / Microsoft  Composta por:  Estágio Básico (4 módulos)  Graduação  Cada disciplina tem seu número de módulos  Em 2006 foram oferecidos o Estágio Básico e a disciplina de ISO17799:2005  Ainda sem calendário e número de vagas para 2007  Necessário possuir usuário cadastrado no site do TechNet
    39. 39. PARTE 4  RepositóriosRepositórios
    40. 40. Sites Úteis  http://www.insecure.org  http://www.securityfocus.com  http://www.sans.org  http://www.digg.com  http://techrepublic.com.com  http://www.hackaday.com  http://slashdot.org  http://www.modulo.com.br
    41. 41. RSS e PodCasts  Agregadores:  Itunes  Democracy Player  FireAnt  Plugins do IE e Firefox  Mídias  Áudio mp3/mp4/aac  Vídeo DivX/A3C/Streaming
    42. 42. Alguns PodCasts  Security Now!  http://www.grc.com/securitynow.htm  2600 - Off The Hook  http://www.2600.com/offthehook  SploitCast  http://www.sploitcast.com  TWiT – This Week in Tech  http://www.twit.tv/TWiT  Extreme Tech  http://www.extremetech.com
    43. 43. Video PodCasts  HAK.5  http://www.hak5.org  Local Area Security  http://www.localareasecurity.com  IronGeek  http://irongeek.com  Hacking Illustrated  Revision3  http://www.revision3.com  Digital Life Television (DL Tv)  http://dl.tv
    44. 44. Congressos e Eventos  HOPE – Hacker on Planet Earth  http://www.hopenumbersix.net  DEFCon  http://www.defcon.org – Archives  BlackHat  http://www.blackhat.com – Archives  H2HC – Hackers 2 Hackers Conference  http://www.h2hc.org.br  CCC.de – Chaos Computer Club  http://www.ccc.de
    45. 45. Filmes  Jogos de Guerra (WarGames)  1983, vários  Quebra de Sigilo (Sneakers)  1992, Robert Redford  Piratas de Computador (Hackers)  1995, Angelina Jolie  O Cyborg do Futuro (Johnny Mnemonic)  1995, Keanu Reeves  A Senha (Swordfish)  2001, John Travolta  A Rede (The Net)  1995, Sandra Bullock  Ameaça Virtual (Antitrust)  2001, Ryan Phillippe  Matrix (The Matrix)  1999, Keanu Reeves  Caçada Virtual (Takedown)  2000, Russell Wong  Piratas do Vale do Silício (Pirates of Silicon Valley)  1999, vários  A Batalha do Atlântico (U- 571)  2000, Matthew McConaughey  O Caçador de Andróides (Blade Runner)  1982, Harrison Ford
    46. 46. Listas de Discussão  CISSPBr  Yahoo Groups  BugTraq  Modulo Newsletter Outras Fontes • The Hacker News Network
    47. 47. PARTE 5  Genealogia de umGenealogia de um HackerHacker
    48. 48. Hacker  “Unauthorized user who attempts to or gains access to an information system.”  www.tecrime.com/0gloss.htm  “A person who illegally gains access to your computer system.”  www.infosec.gov.hk/english/general/glossary_gj.htm  “A person who illegally gains access to and sometimes tampers with information in a computer system.”  http://www.webster.com/dictionary/hacker  “A person who accesses computer files without authorization, often destroying vast amounts of data.”  www.boydslaw.co.uk/glossary/gloss_itip.html
    49. 49. Linha do Tempo: ‘Hacker’ 1878-1969 Surgimento da BELL TC - Primeira geração de Hackers de Computadores; - Estudantes do MIT nos anos 60; - Capacidade de alterar programas ('hacks') em mainframes para melhorar programas. - Neste caso 'Hacker' tinha uma conotação positiva. - Indicava pessoas capazes de levar programas além de sua capacidade original. Anos 70 Primeiros Phreakers - Phreaker = Freak, Phone, Free - Surgiu após a substituição das telefonistas por sistemas telefonicos gerenciados por computador - Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz enquanto conversava com sua tia - Fato Captain Crunch e o apito da caixa de cereais que gerava o mesmo ton de 2600 Hz - Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley) Proliferação dos PCs 1980-1985 -A Evolução da cultura Hacker surge com o aparecimento do PC - Filme War Games - Surgimento da 2600: Hacker Quaterly - Acessar computadores, e tudo aquilo que possa lhe ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo. Anos 90 Combate a ameaça Hacker 1985-1990 Roubos, Bugs e Federais -Legislação: Julgamento do primeiro hacker por invasão constante do DoD por diversos anos, Pat Riddle AKA Captain ZAP - Apenas acessar já não era suficiente, distribuição de rpogramas e jogos, e o aparecimento de individuos que não mais respeitavam os códigos de ética - Os verdadeiros hackers começam a se distanciar dos que agra se conhece como ‘Crackers’ - Surgem os primeiros Virus e Worms 2000+ Hackining: hoje e no futuro - Kevin Mitnick - Em resposta as diversas prisões anunciadas na mídia, o termo ‘Hacker’ passa a ter uma conotação pejorativa - Surge o filme Hackers - Novas técnicas, antigos padrões - Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg, …) - Nasce a consciência comum de Segurança da Informação - Corporações reconhecem a necessidade por segurança - A mídia perpetua o Hacker como uma ameaça - Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers - Surgem os termos ‘White Hat’ e ‘Black Hat’
    50. 50. Trilha Evolutiva Usuário Geek Nerd Script Kid CrackerHacker Lammer White Hat Black Hat
    51. 51. População por segmento Usuários, Curiosos e Iniciantes Geeks e Nerds Script Kidies e Lammers Hackers e Crackers White e Black Hats
    52. 52. VT: Parte 1 (1,5 ponto)  Dividir a sala em 6 grupos aproximadamente iguais.  Cada grupo apresentará um dos temas abaixo, sendo 15 min para apresentação e 5 min para perguntas  Data da Apresentação:  Próx. Quarta-Feira (14/MAR/2007)Próx. Quarta-Feira (14/MAR/2007)  Temas:  Vírus  Worm  Backdoor  Cavalo de Tróia (Trojan)  Bomba Lógica  RootKit  Composição do trabalho:  Uma apresentação (ex.: PPT) – 1 ponto  Uma pesquisa sobre o tema escolhido (ex.: DOC) – 0,5 ponto
    53. 53. PARTE 6  Ameaças DigitaisAmeaças Digitais
    54. 54. Ataques  Geralmente divididos nos seguintes tipos:  Pelo alvo geral do ataque (aplicações, redes ou misto)  Se o ataque é ativo ou passivo  Pelo mecanismo de ataque (quebra de senha, exploração de código, ...)  Ataques Ativos  DoS, DDoS, buffer overflow, inundação de SYN  Ataques Passívos  Pesquisa de vulnerabilidade, sniffing, ...  Ataques de Senha  Força bruta, Dicionário, “hackish”, Rainbow Tables  Código malicioso (malware)  Vírus, trojans, worms, ...
    55. 55. Ataques Ativos  DoS/DDoS  Reduzir a qualidade de serviço a níveis intoleráveis  Tanto mais difícil quanto maior for a infra- estrutura do alvo  Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado  “Zombies” e Mestres (Masters), ataque smurf  BOTs e BOTNets, ataques “massificados” por banda larga  Tipos  Consumo de Recursos (largura de banda, cpu, RAM, ...)  Pacotes malformados (todas as flags ligadas)
    56. 56. Ataques Ativos (cont.)  Buffer Overflow  Sobrescrever o próprio código em execução  “Shell code”, escrito em assembler  Tem como objetivo executar algum código, ou conseguir acesso privilegiado  Ataques SYN  Fragilidade nativa do TCP/IP  Conexão de 3-vias (Syn, Syn-Ack, Ack)  Spoofing  Se fazer passar por outro ativo da rede  MITM (Man-In-The-Middle) Dsniff
    57. 57. Ataques Ativos (Cont.)  Lixeiros  Documentos sensíveis mal descartados  Informações em hardwares obsoletos  Falta de Política de Classificação da Informação  Engenharia social  Kevin Mitnick  Normalmente relevada nos esquemas de segurança  Utiliza-se do orgulho e necessidade de auto- reconhecimento, intrínseco do ser humano ““Um computador não estará seguro nemUm computador não estará seguro nem quando desligado e trancado em uma sala,quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído apois mesmo assim alguém pode ser instruído a ligá-lo.”ligá-lo.” [ Kevin Mitnick – A arte de enganar/The Art of Deception ]
    58. 58. Ataques ativos por código malicioso  Malware  MALicious softWARE  Não apenas Spyware ou Adware  “Payload” Vs Vetor  Vírus  Auto replicante  Interfere com hardware, sistemas operacionais e aplicações  Desenvolvidos para se replicar e iludir detecção  Precisa ser executado para ser ativado
    59. 59. Ataques ativos por código malicioso (cont)  Cavalos de Tróia (Trojans)  Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo)  Fica dormente até ser ativado  Muito comum em programas de gerência remota (BO e NetBus)  Não se auto replica e precisa ser executado  Bombas Lógicas  Caindo em desuso pela utilização de segurança no desenvolvimento  Aguarda uma condição ser atingída  Chernobyl, como exemplo famoso (26, Abril)
    60. 60. Ataques ativos por código malicioso (cont)  Worms  Auto replicante, mas sem alteração de arquivos  Praticamente imperceptíveis até que todo o recurso disponível seja consumido  Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede  Não necessita de ponto de execução  Se multiplica em proporção geométrica  Exemplos famosos:  LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...
    61. 61. Ataques ativos por código malicioso (cont)  Back Door  Trojan, root kits e programas legítmos  VNC, PCAnyware, DameWare  SubSeven, Th0rnkit  Provê acesso não autenticado a um sistema  Rootkit  Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors  Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção  Iniciam no boot junto com os processos do sistema
    62. 62. Ataques Passívos  Normalmente utilizado antes de um ataque ativo  Pesquisa de Vulnerabilidades  Pesquisa por Portas/Serviços  http://www.insecure.org – Nmap  Escuta (sniffing)  Extremamente difícil detecção  Não provoca ruído sensível  Senhas em texto claro, comunicações não encriptadas  Redes compartilhadas Vs comutadas  Switch Vs Hub  WireShark (Lin/Win), TCPDump (Lin)  http://www.wireshark.org  http://www.tcpdump.org
    63. 63. Ataques Passívos (cont)  Ataques de Senha  Muito comuns pela facilidade de execução e taxa de sucesso  Cain&Abel, LC5, John The Ripper, ...  Compara Hash’s, não texto  Força Bruta  Teste de todos os caracteres possíveis  Taxa de 5 a 6 Milhões de testes/seg, em um P4  Ataques de Dicionário  Reduz sensivelmente o tempo de quebra  Já testa modificado para estilo “hackish”  B4n4n4, C@73dr@l, P1p0c@, R007, ...  Rainbow Tables  Princípio Time Memory Trade-off (TMTO)

    ×