O documento apresenta uma introdução à segurança de sistemas de informação, discutindo objetivos, modelo geral de segurança CID, ataques comuns e referências. O modelo CID cobre confidencialidade, integridade e disponibilidade de dados, enquanto os ataques incluem interceptação, interrupção, modificação e fabricação.

1. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Introduc˜o a seguranca em sistemas de
¸a ¸
informac˜o
¸a
V´
ıctor Orozco, Dr. Ana Trindade Winck
Centro de Tecnologia
Universidade Federal de Santa Maria
15 de Janeiro de 2013

2. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Objetivos da aula
• Apresentar uma vis˜o geral da grande ´rea de seguranca da
a a ¸
informac˜o
¸a
• Identificar princ´
ıpios b´sicos de seguranca
a ¸
• Discutir um modelo gen´rico de seguranca de informac˜o
e ¸ ¸a

3. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Roteiro
Vis˜o geral
a
Modelo geral de seguranca
¸
Ataques
Referencias

4. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Seguranca
¸

5. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Seguranca
¸
• A seguranca ´ um dos mais antigos problemas que governos,
¸ e
organizac˜es comerciais e quase todas as pessoas tem de
¸o
enfrentar
• Pode-se definir a seguranca como a percepc˜o de estar
¸ ¸a
protegido contra riscos, perigos ou perdas.

6. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Seguranca
¸
• Em um sentido amplio a seguranca significa proteger os
¸
nossos ativos
• Proteger os nossos sistemas contra atacantes
• Proteger o nosso pr´dio contra desastres naturais
e
• Proteger a nossa carteira de roubos na boate

7. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Seguranca
¸
• Dependendo do contexto assim tem que ser as medidas de
seguranca
¸
• Ativos f´
ısicos: Computadores, carros
• Ativos l´gicos: Arquivos de dados, c´digo fonte de aplicativos
o o
• Ativos humanos: Seres humanos a base de qualquer negocio

8. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Seguranca em SI
¸
• Seguranca SI = Proteger sistemas de informac˜o e a
¸ ¸a
informac˜o mesma de acesso n˜o autorizado, uso, divulgac˜o,
¸a a ¸a
interrupc˜o, modificac˜o ou destruic˜o
¸a ¸a ¸a

9. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Seguranca em SI
¸
• Conceito que se torna cada vez mais presente em muitos
aspectos da nossa sociedade
• Embora a tecnologia nos permite ser mais produtivos, ela
tamb´m carrega consigo uma s´rie de quest˜es de seguranca
e e o ¸
• A introduc˜o de sistemas de informac˜o na industria tem
¸a ¸a
aumentado o problema de seguranca ainda mais
¸
• Se a informac˜o sobre os sistemas utilizados pelos nossos
¸a
empregadores ou nossos bancos fica exposta a um atacante,
as consequˆncias podem ser devastadoras
e

10. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Assegurando Informac˜o
¸a
“O unico sistema realmente seguro ´ aquele que est´ desligado,
´ e a
dentro dum bloco de concreto com guardas armados, e mesmo
assim eu tenho minhas d´vidas”[Andress 2011].
u

11. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Assegurando Informac˜o
¸a
• Quanto mais aumentamos o n´ de seguranca, geralmente
ıvel ¸
diminui o n´ de produtividade
ıvel
• Devemos tamb´m considerar como o n´ de seguranca
e ıvel ¸
refere-se o valor do item que est´ sendo assegurado
a
• Podemos construir uma instalac˜o militar cercada por c˜es
¸a a
assassinos . . . mas n˜o faz sentido se o ativo a proteger for a
a
lista de compras do mercado.

12. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Assegurando Informac˜o
¸a
• Definir um n´ aceit´vel de seguranca ´ um processo
ıvel a ¸ e
subjectivo
• T´cnica generalizada: Definir uma lista dos ativos onde somos
e
vulner´veis (sempre vai ter alguma coisa a mais)
a
• Alguns regulamentos tentam definir o que proteger, ou pelo
menos alguns dos passos que uma organizac˜o deve tomar
¸a
para ser “seguro”.

13. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Assegurando Informac˜o
¸a
• Como pode-se definir esse listado?
• Listando nossos ativos e verificando se eles apresentam
caracter´
ısticas seguras de acordo a algum modelo
estandardizado

14. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID

15. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID - Confidencialidade
Nossa capacidade de proteger nossos dados daqueles que n˜o est˜o
a a
autorizados a ver eles.

16. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID - Confidencialidade
• Password do nosso computador
• Registo banc´rio
a
• ?

17. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID - Integridade
A capacidade de impedir os nossos dados sejam alteradas numa
forma n˜o autorizada ou indesej´vel.
a a

18. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID - Integridade
• Sistema de arquivos Windows que separa e protege o acesso
aos arquivos de um usu´rio para outro
a
• ?

19. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID - Disponibilidade
A capacidade de acessar aos dados quando precisamos deles.

20. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo CID - Disponibilidade
• Sobrecarga mal intencionada nos servidores do nosso banco
• ?

21. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo Parkeriano -2002-

22. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Modelo Parkeriano
• Propriedade - A disponibilidade f´
ısica donde a informac˜o tem
¸a
sido guardada
• Autenticidade - A atribuic˜o adequada quanto ao propriet´rio
¸a a
ou criador dos dados em quest˜o
a
• Utilidade - Qu˜o util s˜o os dados e suas caracter´
a ´ a ısticas para
n´s
o

23. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Ataques
• Os sistemas de informac˜o podem enfrentar ataques desde
¸a
uma grande variedade de abordagens e ˆngulos
a
• Os ataques podem ser classificados de acordo com o tipo de
ataque que ele representa, o risco que o ataque representa, e
os controles podemos usar para mitigar eles
• Cada ataque pode afetar um ou mais princ´
ıpios CID

24. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Ataques

25. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Ataques - Intercepc˜o
¸a
• Permitem que usu´rios n˜o autorizados acessem os nossos
a a
dados, aplicac˜es, ou ambientes, e s˜o principalmente um
¸o a
ataque contra a confidencialidade (chaves de acesso).
• Exemplos: Visualizac˜o ou copia de arquivos n˜o autorizados,
¸a a
espionagem em conversas, ler e-mail
• Corretamente executados, ataques de interceptac˜o podem
¸a
ser muito dif´
ıceis de detectar.

26. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Ataques - Interrupc˜o
¸a
• Atacam ativos visando tornar eles inutiliz´veis ou indispon´
a ıveis
para uso, de forma tempor´ria ou permanente.
a
• Exemplos: Ataques de denegac˜o de servico (disponibilidade),
¸a ¸
sobrecarga aos bancos de dados
(disponibilidades+integridade),
• Modificac˜o
¸a
• Fabricac˜o
¸a

27. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Ataques - Modificac˜o
¸a
• S˜o todos aqueles que mexem na informac˜o.
a ¸a
• Exemplos: Acesso n˜o autorizado a arquivos (integridade),
a
acesso a arquivos de configurac˜o de servicos
¸a ¸
(integridade+disponibilidade)

28. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Ataques - Fabricac˜o
¸a
• Gerac˜o de dados, processos, comunicac˜es ou outras
¸a ¸o
atividades similares com um sistema de
• Exemplo: Criac˜o de informac˜es falsas no banco de dados
¸a ¸o
(integridade ou integridade+disponibilidade)
• S˜o considerados maioritariamente como ataques na
a
integridade, mas dependendo da quantidade dos dados podem
ser tamb´m ataques de disponibilidade
e

29. Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Referencias I
Andress, J. (2011).
The basics of information security understanding the
fundamentals of InfoSec in theory and practice.
Syngress, Waltham, MA.