O documento introduz conceitos básicos de segurança da informação, dividido em 6 partes. A Parte 1 define informação e propriedade. A Parte 2 discute conceitos como CIA, políticas de segurança e ativos. A Parte 3 sugere começar pela análise de riscos e implementação de políticas de segurança.

1. Introdução a Segurança da Informação
Carlos Sampaio

2. Conteúdo Programático
 Parte 1: A Informação
 Parte 2: Conceitos
 Parte 3: Por onde começar?
 Parte 4: Repositórios de Informação
 Parte 5: Genealogia de um Hacker
 Parte 6: Ameaças Digitais

3. PARTE 1
 A InformaçãoA Informação

4. InformaçãoInformação (Michaelis)
 do Lat. informatione
s. f.,
Ato ou efeito de informar ou informar-se;
Comunicação;
Conjunto de conhecimentos sobre alguém ou
alguma coisa;
Conhecimentos obtidos por alguém;
Fato ou acontecimento que é levado ao
conhecimento de alguém ou de um público
através de palavras, sons ou imagens;
Elemento de conhecimento susceptível de ser
transmitido e conservado graças a um suporte e
um código.

5. PropriedadePropriedade (Michealis)
 do Lat. proprietate
s. f.,
Aquilo que pertença legitimamente a alguém ou
sobre o qual alguém tenha direito pleno;
Bens, posses;
Patrimônio físico(tangível) e imaterial(intangível).

6. ConsideraçãoConsideração
 E quando o patrimônio é a
informação?

7. Considerações
 Segundo a Universidade da Califórnia
em Berkeley(2005):
 Existe aproximadamente 2.5 Bilhões de
documentos acessíveis na WEB;
 Este número cresce em cerca de 700 mil
páginas por dia.
 Velhos jargões
 “O segredo é a alma do negócio”;
 Novas tendências
 Mundo Globalizado, Ubiqüidade, Acesso a
Informação.

8. PARTE 2
 ConceitosConceitos

9. Axioma de Segurança
““Uma corrente não é mais forteUma corrente não é mais forte
que o seu elo mais fraco”que o seu elo mais fraco”

10. Segurança da Informação
 “A segurança da informação é um
conjunto de medidas que se
constituem basicamente de controlescontroles e
política de segurançapolítica de segurança, tendo como
objetivo a proteção das informações
dos clientes e da empresa
(ativos/bensativos/bens), controlando o riscorisco de
revelação ou alteração por pessoas
não autorizadas.”

11. Política de Segurança
 Trata-se um conjunto de diretrizes
(normas) que definem formalmente
as regras e os direitos dos usuários,
visando à proteção adequada dos
ativos da informação

12. Ativos (Bens)
Dados
 Número de
Cartões de Crédito
 Planos de Marketing
 Códigos Fonte
 Informações de RH
Serviços
 Web sites
 Acesso a Internet
 Controladores
de Domínio
 ERP
Comunicação
 Logins
 Transação Financeira
 Correio Eletrônico

13. DefiniçõesDefinições
 AmeaçaAmeaça
 Evento ou atitude indesejável que
potencialmente remove, desabilita, danifica ou
destrói um recursorecurso;
 VulnerabilidadeVulnerabilidade
 Característica de fraqueza de um bem;
 Características de modificação e de captação de
que podem ser alvos os bens, ativos, ou
recursos intangíveis de informática,
respectivamente, software, ou programas de
bancos de dados, ou informações, ou ainda a
imagem corporativa.

14. Conceitos BásicosConceitos Básicos
 RiscoRisco
 A probabilidadeprobabilidade da ocorrência de uma
ameaça em particular
 A probabilidadeprobabilidade que uma ameaça
explore uma determinada
vulnerabilidade de um recurso

15. Ameaça, Vulnerabilidade e Risco
 Ameaça (evento)
 assalto a uma agência bancária
 Vulnerabilidade (ponto falho)
 liberação manual das portas giratórias
pelos vigilantes
 Risco
 baixobaixo, devido ao percentual de assaltos
versus o universo de agências
 altoalto, se comparando as tentativas
frustradas versus as bem sucedidas

16. Conceitos Fundamentais
 Princípios da Segurança
ConfidencialidadeConfidencialidade
IntegridadeIntegridade DisponibilidadeDisponibilidade
((AAvailability)vailability)
SegurançaSegurança

17. CIA – ConfidencialidadeCIA – Confidencialidade
 Propriedade de manter a informação
a salvo de acesso e divulgação nãonão
autorizadosautorizados;
 Proteger as informações contra
acesso de qualquer pessoa não
devidamente autorizada pelo donopelo dono da
informação, ou seja, as informações
e processos são liberados apenas a
pessoas autorizadaspessoas autorizadas.

18. CIACIA –– IntegridadeIntegridade
 Propriedade de manter a informação
acurada, completa e atualizada
 Princípio de segurança da
informação através do qual é
garantida a autenticidadeautenticidade da
informação
 O usuário que arquiva dados espera
que o conteúdo de seus arquivos não
seja alterado por erros de sistema no
suporte físico ou lógico

19. CIA – DisponibilidadeCIA – Disponibilidade (Availability)(Availability)
 Propriedade de manter a informação
disponível para os usuários, quando
estes dela necessitarem
 Relação ou percentagem de tempo,
em que uma unidade do
equipamento de processamento está
funcionando corretamente

20. Princípios AuxiliaresPrincípios Auxiliares
Auditoria
Autenticação
Autorização
IdentificaçãoSigilo
Métodos
- DAC
- MAC
- RBAC
Vias
-O que Sou
-O que Sei
-O que Tenho
Controle de Acesso

21. Controle de AcessoControle de Acesso
 Suporta os princípios da CIA
 São mecanismos que limitam o
acesso a recursos, baseando-se na
identidade do usuário, grupo que
integra e função que assume.
 Em segurança, é suportado pela
tríade AAA (definida na RFC 3127)

22. Auditoria (Accountability)Auditoria (Accountability)
 É a capacidade que um sistema tem
de determinar as ações e
comportamentos de um único
indivíduo no sistema, e de identificar
este indivíduo;
 Trilha de auditoria, tentativas de
acesso, problemas e erros de
máquina, e outros eventos
monitorados ou controlados.

23. AutenticaçãoAutenticação
 Propriedade de confirmar a
identidade de uma pessoa ou
entidade.
 Meio pelo qual a identidade de um
usuário é confirmada, e garante que
ele realmente é quem diz ser

24. AutorizaçãoAutorização
 São os direitos ou permissões,
concedidos a um indivíduo ou
processo, que permite acesso a um
dado recurso.
 Após a identificação e autenticação
de um usuário terem sido
estabelecidas, os níveis de
autorização irão determinar a
extensão dos direitos que este
usuário pode ter em um dado
sistema.

25. SigiloSigilo
 Trata-se do nível de confidencialidade e
garantia de privacidade de um usuário no
sistema;
 Ex.: Garante a privacidade dos dados de
um usuário em relação ao operador do
sistema.
IdentificaçãoIdentificação
 Meio pelo qual o usuário apresenta sua
identidade. Mais frequentemente utilizado
para controle de acesso, é necessário para
estabelecer Autenticação e Autorização.

26. Mecanismos de Controle de
Acesso

27. PARTE 3
 Onde Começar ?Onde Começar ?

28. Leis Imutáveis da
Segurança
 Ninguém acredita que nada de mal possa
acontecer até que acontece;
 Segurança só funciona se a forma de se
manter seguro for uma forma simples;
 Se você não realiza as correções de
segurança, sua rede não será sua por
muito tempo;
 Vigilância eterna é o preço da segurança;
 Segurança por Obscuridade, não é
segurança;
 LOGs, se não auditá-los, melhor não tê-
los.

29. Leis Imutáveis da
Segurança
 Existe realmente alguém tentando quebrar
(adivinhar) sua senha;
 A rede mais segura é uma rede bem
administrada;
 A dificuldade de defender uma rede é
diretamente proporcional a sua
complexidade;
 Segurança não se propõe a evitar os
riscos, e sim gerenciá-los;
 Tecnologia não é tudo.
By Scott Pulp – Security Program Manager atBy Scott Pulp – Security Program Manager at
Microsoft Security Response CenterMicrosoft Security Response Center

30. Responsabilidades da
Empresa
 “Desde que uma empresa fornece
acesso internet a seus funcionários,
esta empresa torna-se responsável
pelo que ele faz, a menos que possa
provar que tomou as medidas
cabíveis para evitar problemas”
Corporate Politics on the Internet:
Connection with Controversy, 1996

31. Segurança nas
Organizações
 Segurança é um ”processo” que tenta manter
protegido um sistema complexo composto de
muitas entidades:
 Tecnologia (hardware, software, redes)
 Processos (procedimentos, manuais)
 Pessoas (cultura, conhecimento)
 Estas entidades interagem das formas mais
variadas e imprevisíveis
 A Segurança falhará se focar apenas em
parte do problema
 Tecnologia não é nem o problema inteiro,
nem a solução inteira

32. Ciclo de Segurança
 Análise da Segurança (Risk Assessment)
 Definição e Atualização de Regras de
Segurança (Política de Segurança)
 Implementação e Divulgação das Regras
de Segurança (Implementação)
 Administração de Segurança
(Monitoramento, Alertas e Respostas a
Incidentes)
 Auditorias (Verificação do Cumprimento da
Política)

33. Domínios de Conhecimento
 “The International Information
Systems Security Certification
Consortium, Inc. [(ISC)²]”
 http://www.isc2.org
 A (ISC)2
define 10 domínios de
conhecimento (CBK), para sua
certificação introdutória CISSP
 Certified Information Systems Security
Professional
 Common Body of Knowledge

34. CBK – Common Body Of
Knowledge
 Security Management Practices
 Access Control Systems
 Telecommunications and Network Security
 Cryptography
 Security Architecture and Models
 Operations Security
 Applications and Systems Development
 Business Continuity Planning and Disaster
Recovery Planning
 Law, Investigation, and Ethics
 Physical Security

35. Outras Certificações
 GIAC - Global Information Assurance
Certification (Sans.Org)
 3 Níveis de Expertise em 5 Áreas de
Conhecimento
 Níveis
 GIAC Silver
 2 ou mais testes
 GIAC Gold
 Silver + Pesquisa e
Publicação
 GIAC Platinum
 Gold em 2 ou mais
AC’s + testes(3 dias)
 Áreas de
Conhecimento
 Administração de
Segurança
 Gerência de
Segurança
 Operações
 Legislação

36. Outras Certificações
 CompTIA – Security+
 5 Domínios de Conhecimento
 Communication Security
 Infrastructure Security
 Cryptography
 Operational Security
 General Security Concepts

37. Outras Certificações
 MCSO – Módulo Certified Security
Officer
 2 Módulos compreendendo:
 Conceitos, Padrões e Aplicações
 Fundamentos de Segurança da Informação
 Organização de departamentos
 Gestão de pessoas
 Política de Segurança da Informação.
 Gestão de Tecnologias
 Windows/Unix
 Segurança em redes e telecomunicações
 Controle de acesso
 Arquitetura e modelos de segurança
 Criptografia

38. Outros Recursos
 Academia Latino Americana de
Segurança da Informação
 Parceria Módulo / Microsoft
 Composta por:
 Estágio Básico (4 módulos)
 Graduação
 Cada disciplina tem seu número de módulos
 Em 2006 foram oferecidos o Estágio Básico e a
disciplina de ISO17799:2005
 Ainda sem calendário e número de vagas para
2007
 Necessário possuir usuário cadastrado no site do
TechNet

39. PARTE 4
 RepositóriosRepositórios

40. Sites Úteis
 http://www.insecure.org
 http://www.securityfocus.com
 http://www.sans.org
 http://www.digg.com
 http://techrepublic.com.com
 http://www.hackaday.com
 http://slashdot.org
 http://www.modulo.com.br

41. RSS e PodCasts
 Agregadores:
 Itunes
 Democracy Player
 FireAnt
 Plugins do IE e Firefox
 Mídias
 Áudio mp3/mp4/aac
 Vídeo DivX/A3C/Streaming

42. Alguns PodCasts
 Security Now!
 http://www.grc.com/securitynow.htm
 2600 - Off The Hook
 http://www.2600.com/offthehook
 SploitCast
 http://www.sploitcast.com
 TWiT – This Week in Tech
 http://www.twit.tv/TWiT
 Extreme Tech
 http://www.extremetech.com

43. Video PodCasts
 HAK.5
 http://www.hak5.org
 Local Area Security
 http://www.localareasecurity.com
 IronGeek
 http://irongeek.com
 Hacking Illustrated
 Revision3
 http://www.revision3.com
 Digital Life Television (DL Tv)
 http://dl.tv

44. Congressos e Eventos
 HOPE – Hacker on Planet Earth
 http://www.hopenumbersix.net
 DEFCon
 http://www.defcon.org – Archives
 BlackHat
 http://www.blackhat.com – Archives
 H2HC – Hackers 2 Hackers
Conference
 http://www.h2hc.org.br
 CCC.de – Chaos Computer Club
 http://www.ccc.de

45. Filmes
 Jogos de Guerra
(WarGames)
 1983, vários
 Quebra de Sigilo
(Sneakers)
 1992, Robert Redford
 Piratas de Computador
(Hackers)
 1995, Angelina Jolie
 O Cyborg do Futuro
(Johnny Mnemonic)
 1995, Keanu Reeves
 A Senha (Swordfish)
 2001, John Travolta
 A Rede (The Net)
 1995, Sandra Bullock
 Ameaça Virtual (Antitrust)
 2001, Ryan Phillippe
 Matrix (The Matrix)
 1999, Keanu Reeves
 Caçada Virtual (Takedown)
 2000, Russell Wong
 Piratas do Vale do Silício
(Pirates of Silicon Valley)
 1999, vários
 A Batalha do Atlântico (U-
571)
 2000, Matthew
McConaughey
 O Caçador de Andróides
(Blade Runner)
 1982, Harrison Ford

46. Listas de Discussão
 CISSPBr
 Yahoo Groups
 BugTraq
 Modulo Newsletter
Outras Fontes
• The Hacker News Network

47. PARTE 5
 Genealogia de umGenealogia de um
HackerHacker

48. Hacker
 “Unauthorized user who attempts to or gains access
to an information system.”
 www.tecrime.com/0gloss.htm
 “A person who illegally gains access to your
computer system.”
 www.infosec.gov.hk/english/general/glossary_gj.htm
 “A person who illegally gains access to and
sometimes tampers with information in a computer
system.”
 http://www.webster.com/dictionary/hacker
 “A person who accesses computer files without
authorization, often destroying vast amounts of data.”
 www.boydslaw.co.uk/glossary/gloss_itip.html

49. Linha do Tempo: ‘Hacker’
1878-1969
Surgimento
da BELL TC
- Primeira geração de Hackers de Computadores;
- Estudantes do MIT nos anos 60;
- Capacidade de alterar programas ('hacks') em
mainframes para melhorar programas.
- Neste caso 'Hacker' tinha uma conotação positiva.
- Indicava pessoas capazes de levar programas além
de sua capacidade original.
Anos 70
Primeiros
Phreakers
- Phreaker = Freak, Phone, Free
- Surgiu após a substituição das telefonistas por sistemas telefonicos
gerenciados por computador
- Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz
enquanto conversava com sua tia
- Fato Captain Crunch e o apito da caixa de cereais que gerava o
mesmo ton de 2600 Hz
- Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley)
Proliferação
dos PCs
1980-1985
-A Evolução da cultura Hacker surge com o
aparecimento do PC
- Filme War Games
- Surgimento da 2600: Hacker Quaterly
- Acessar computadores, e tudo aquilo que possa
lhe ensinar mais alguma coisa sobre como o mundo
funciona, deve ser ilimitado e completo.
Anos 90
Combate a
ameaça Hacker
1985-1990
Roubos, Bugs e
Federais
-Legislação: Julgamento do primeiro hacker por invasão constante do
DoD por diversos anos, Pat Riddle AKA Captain ZAP
- Apenas acessar já não era suficiente, distribuição de rpogramas e
jogos, e o aparecimento de individuos que não mais respeitavam os
códigos de ética
- Os verdadeiros hackers começam a se distanciar dos que agra se
conhece como ‘Crackers’
- Surgem os primeiros Virus e Worms
2000+
Hackining: hoje
e no futuro
- Kevin Mitnick
- Em resposta as diversas prisões anunciadas na
mídia, o termo ‘Hacker’ passa a ter uma conotação
pejorativa
- Surge o filme Hackers
- Novas técnicas, antigos padrões
- Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg,
…)
- Nasce a consciência comum de Segurança da Informação
- Corporações reconhecem a necessidade por segurança
- A mídia perpetua o Hacker como uma ameaça
- Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers
- Surgem os termos ‘White Hat’ e ‘Black Hat’

50. Trilha Evolutiva
Usuário
Geek Nerd
Script Kid
CrackerHacker
Lammer
White Hat Black Hat

51. População por segmento
Usuários, Curiosos e Iniciantes
Geeks e Nerds
Script Kidies e Lammers
Hackers e Crackers
White e
Black Hats

52. VT: Parte 1 (1,5 ponto)
 Dividir a sala em 6 grupos aproximadamente
iguais.
 Cada grupo apresentará um dos temas abaixo,
sendo 15 min para apresentação e 5 min para
perguntas
 Data da Apresentação:
 Próx. Quarta-Feira (14/MAR/2007)Próx. Quarta-Feira (14/MAR/2007)
 Temas:
 Vírus
 Worm
 Backdoor
 Cavalo de Tróia
(Trojan)
 Bomba Lógica
 RootKit
 Composição do trabalho:
 Uma apresentação (ex.:
PPT) – 1 ponto
 Uma pesquisa sobre o
tema escolhido (ex.: DOC)
– 0,5 ponto

53. PARTE 6
 Ameaças DigitaisAmeaças Digitais

54. Ataques
 Geralmente divididos nos seguintes tipos:
 Pelo alvo geral do ataque (aplicações, redes ou misto)
 Se o ataque é ativo ou passivo
 Pelo mecanismo de ataque (quebra de senha,
exploração de código, ...)
 Ataques Ativos
 DoS, DDoS, buffer overflow, inundação de SYN
 Ataques Passívos
 Pesquisa de vulnerabilidade, sniffing, ...
 Ataques de Senha
 Força bruta, Dicionário, “hackish”, Rainbow Tables
 Código malicioso (malware)
 Vírus, trojans, worms, ...

55. Ataques Ativos
 DoS/DDoS
 Reduzir a qualidade de serviço a níveis
intoleráveis
 Tanto mais difícil quanto maior for a infra-
estrutura do alvo
 Enquanto DoS é de fácil execução e pode ser
corrigido, DDoS é de difícil e não pode ser
evitado
 “Zombies” e Mestres (Masters), ataque smurf
 BOTs e BOTNets, ataques “massificados” por
banda larga
 Tipos
 Consumo de Recursos (largura de banda, cpu,
RAM, ...)
 Pacotes malformados (todas as flags ligadas)

56. Ataques Ativos (cont.)
 Buffer Overflow
 Sobrescrever o próprio código em execução
 “Shell code”, escrito em assembler
 Tem como objetivo executar algum código, ou
conseguir acesso privilegiado
 Ataques SYN
 Fragilidade nativa do TCP/IP
 Conexão de 3-vias (Syn, Syn-Ack, Ack)
 Spoofing
 Se fazer passar por outro ativo da rede
 MITM (Man-In-The-Middle)
Dsniff

57. Ataques Ativos (Cont.)
 Lixeiros
 Documentos sensíveis mal descartados
 Informações em hardwares obsoletos
 Falta de Política de Classificação da Informação
 Engenharia social
 Kevin Mitnick
 Normalmente relevada nos esquemas de segurança
 Utiliza-se do orgulho e necessidade de auto-
reconhecimento, intrínseco do ser humano
““Um computador não estará seguro nemUm computador não estará seguro nem
quando desligado e trancado em uma sala,quando desligado e trancado em uma sala,
pois mesmo assim alguém pode ser instruído apois mesmo assim alguém pode ser instruído a
ligá-lo.”ligá-lo.”
[ Kevin Mitnick – A arte de enganar/The Art of Deception ]

58. Ataques ativos por código malicioso
 Malware
 MALicious softWARE
 Não apenas Spyware ou Adware
 “Payload” Vs Vetor
 Vírus
 Auto replicante
 Interfere com hardware, sistemas
operacionais e aplicações
 Desenvolvidos para se replicar e iludir
detecção
 Precisa ser executado para ser ativado

59. Ataques ativos por código malicioso
(cont)
 Cavalos de Tróia (Trojans)
 Código malicioso escondido em uma aplicação
aparentemente legítma (um jogo por exemplo)
 Fica dormente até ser ativado
 Muito comum em programas de gerência
remota (BO e NetBus)
 Não se auto replica e precisa ser executado
 Bombas Lógicas
 Caindo em desuso pela utilização de
segurança no desenvolvimento
 Aguarda uma condição ser atingída
 Chernobyl, como exemplo famoso (26, Abril)

60. Ataques ativos por código malicioso
(cont)
 Worms
 Auto replicante, mas sem alteração de
arquivos
 Praticamente imperceptíveis até que todo o
recurso disponível seja consumido
 Meio de contaminação mais comum através
de e-mails e/ou vulnerabilidades em
aplicações de rede
 Não necessita de ponto de execução
 Se multiplica em proporção geométrica
 Exemplos famosos:
 LoveLetter, Nimda, CodeRed, Melissa, Blaster,
Sasser, ...

61. Ataques ativos por código malicioso
(cont)
 Back Door
 Trojan, root kits e programas legítmos
 VNC, PCAnyware, DameWare
 SubSeven, Th0rnkit
 Provê acesso não autenticado a um sistema
 Rootkit
 Coleção de ferramentas que possibilitam a
criação “on-demand” de backdoors
 Modificam rotinas de checagem dos sistemas
operacionais comprometidos para impedir
detecção
 Iniciam no boot junto com os processos do
sistema

62. Ataques Passívos
 Normalmente utilizado antes de um ataque ativo
 Pesquisa de Vulnerabilidades
 Pesquisa por Portas/Serviços
 http://www.insecure.org – Nmap
 Escuta (sniffing)
 Extremamente difícil detecção
 Não provoca ruído sensível
 Senhas em texto claro, comunicações não encriptadas
 Redes compartilhadas Vs comutadas
 Switch Vs Hub
 WireShark (Lin/Win), TCPDump (Lin)
 http://www.wireshark.org
 http://www.tcpdump.org

63. Ataques Passívos (cont)
 Ataques de Senha
 Muito comuns pela facilidade de execução e taxa
de sucesso
 Cain&Abel, LC5, John The Ripper, ...
 Compara Hash’s, não texto
 Força Bruta
 Teste de todos os caracteres possíveis
 Taxa de 5 a 6 Milhões de testes/seg, em um P4
 Ataques de Dicionário
 Reduz sensivelmente o tempo de quebra
 Já testa modificado para estilo “hackish”
 B4n4n4, C@73dr@l, P1p0c@, R007, ...
 Rainbow Tables
 Princípio Time Memory Trade-off (TMTO)