O documento discute os principais tipos de ataques de segurança da informação e os pontos fracos das organizações. Ele também fornece recomendações para minimizar riscos, como implementar firewalls, IDS, scanner de vulnerabilidades e inventário de hardware e software, além de desenvolver uma política de segurança da informação.

1. Segurança da Informação Marcelo Piuma Agosto de 2005

2. Agenda Principais tipos de ataques e os pontos fracos das organizações Técnicos Humanos Organizacionais Modelo de segurança Firewall IDS Política de Segurança Comparação quantitativa e qualitativa de soluções Perguntas e Respostas

3. Principais tipos de Ataques Marcelo Piuma Agosto de 2005

4. Principais tipos de Ataques Ataque interno  é o mais fácil de ser praticado, não existe necessidade de grandes conhecimentos Cavalo de Tróia  I Love You, The Quota Trojan Sniffers  Captura de pacotes (modo promíscuo) Spoofing de IP  Autenticação por falsificação de IP DDoS (Denial of Service)  Visa travar ou parar serviços

5. Principais tipos de Invasores Brincalhão Em busca do sucesso Espião Vândalos Acidental (P.O.  problema do operador)

6. Qual o objetivo de uma invasão ? Prejudicar! Obtenção de informações privilegiadas (principalmente se não for detectado) Destruição de dados Paralisação de serviços ou funcionalidades da empresa Prejuízo financeiro Vingança

7. Alguns números Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004. 42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa. 35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003. Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas. O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003. 32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos. 26% das empresas não conseguem sequer identificar os responsáveis pelos ataques. Fonte: site da Módulo www.modulo.com.br

8. Alguns números 48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques. 60% indicam a internet como principal ponto de invasão em seus sistemas. 58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança. A falta de consciência dos executivos é apontada por 23% dos entrevistados como o principal obstáculo para implementação da segurança. 63,5% dos entrevistados adotam a ISO 17799 como a principal norma que norteia suas empresas. Política de Segurança formalizada já é realidade em 68% das organizações. Apenas 21% das empresas afirmaram possuir um Plano de Continuidade de Negócios (PCN) atualizado e testado. Fonte: site da Módulo www.modulo.com.br

9. Alguns números 60% das empresas fazem Planejamento de Segurança, sendo que 27% possuem Planejamento para até 1 ano. A área de Tecnologia (49,5%) continua sendo a principal responsável pelo gerenciamento da Segurança da Informação nas empresas, seguida pela área específica, Security Office, com 25,5%. Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as três medidas de segurança mais implementadas nas empresas. 60% afirmam que os investimentos de suas empresas em Segurança para 2004 vão aumentar. Fonte: site da Módulo www.modulo.com.br

10. Análise da Pesquisa Podemos facilmente identificar os pontos fracos Técnicos Organizacionais Humanos Vamos tratar aqui os dois maiores Técnicos  Ambiente Seguro (Fw, IDS, etc.) Organizacionais  Analise de Risco e Política de Segurança

11. Minimizando os Riscos Marcelo Piuma Agosto de 2005

12. Analisando os Riscos Primeira pergunta  Corremos riscos ? Resposta é sempre SIM Existe: SIM e sim Muitos fatores influenciam na análise do risco e na modelagem de uma solução de segurança Presença na WEB com servidor próprio Riscos de informações confidenciais (ramo de atividade) Escritórios regionais (necessidade de VPN ou Link Privado) Solução de EXTRANET Política de RH (problema do bom senso) Históricos da empresa e do setor

13. Uma Solução! nada é 100% seguro Firewall nível de rede Filtro de Pacotes Facilidade de uso / gerenciamento  Menor TCO Menor exigência de hardware Firewall de Gateway de Aplicativo IDS (intruder detection system) Scanner / TripWire / Nagios Inventário de Hardware e Software Política de Segurança ( PDSI )

14. Montando um projeto de Segurança Pontos de convergência são fundamentais Maior facilidade para implantação de IDS Diminui o TCO Recovery mais rápido Fornecer segurança física para os servidores Servidores devem ser, preferencialmente, BASTIONS Saber exatamente o que está sendo executado Amadorismo em segurança é o mesmo que não ter segurança, nem gaste dinheiro!

15. Montando um projeto de Segurança Lei do previlégio mínimo Defesa em profundidade Ponto de Aferição Elo mais fraco O que fazer em caso de falha Segurança pela obscuridade PARTICIPAÇÃO UNIVERSAL

16. Firewall Nivel de Rede Devem trabalhar em conjunto com os roteadores Roteadores previnem contra IP implementados no RFC Roteadores trabalham com access-lists ICMP Os firewalls devem restringir a passagem das portas/protocolos mais perigosas Monitoramento por IDS até das portas fechadas Bom senso: certas portas podem ser necessárias para serviços vitais para a empresa

17. As Portas mais comuns Executar o bloqueio de endereços forjados ("spoofed" addresses) Pacotes originários do mundo exterior com origem de redes privadas (endereços internos previstos na RFC 1918 e rede 127) devem ser bloqueados. Serviços de Login telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin (512/tcp até 514/tcp)

18. As Portas mais comuns X Windows Range de portas de 6000/tcp até 6255/tcp Serviços de DNS Bloqueio de DNS (53/udp) para todas as máquinas que não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp) Mail SMTP (25/tcp) para todas as máquinas que não são relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)

19. As Portas mais comuns Web Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para servidores que provem serviços web para acesso externo. Outro bloqueio considera as portas altas utilizado por serviços HTTP como Proxy (8000/tcp, 8080/tcp,8888/tcp etc.) "Small Services“ Portas abaixo da 20/tcp e 20/udp e serviço time (portas 37/tcp e 37/udp) Miscellaneous TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp), BGP (179/tcp) e SOCKS (1080/tcp)

20. As Portas mais comuns ICMP Bloqueio de requisições de echo request (ping e Windows traceroute), bloqueio de saída de echo replies, time exceeded, e mensagens do tipo unreachable. RPC e NFS Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e 2049/udp), lockd (4045/tcp e 4045/udp) NetBIOS no Windows NT Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp). No Windows 2000 adicionar porta 445(tcp e udp)

21. O “Problema” P2P É uma mudança de paradigmas Acaba a visão de cliente / servidor É sem dúvida uma tendência  realidade Messenger, Kazaa e etc. É um tormento para qualquer CSO (chief security officer) Esses sistemas usam portas específicas, porém buscam portas comuns como 80 (HTTP) Uma boa saída é através da PDSI (Plano Diretor de Segurança da Informação) Inventário de Hardware e Software

22. IDS Tem a função de detectar tentativas de invasão Funcionam por monitoramento das portas dos servidores vulneráveis Existem excelentes soluções implantadas com open source (LINUX), como por exemplo o SNORT com auxílio do ACID SNORT SNARF  Gerenciador de Log Usar sempre um banco de dados para armazenamento do monitoramento, estatística

23. IDS Existem problemas Falsos Alarmes Falso Negativo Falso Positivo Erros de interpretação Muitos logs para serem analisados O dia-a-dia Manter as regras atualizadas

24. Implantando IDS

25. Scanner/Tripwire/Nagios É fundamental saber as nossas vulnerabilidades Scanner (nessus) Tripwire (software que detecta alterações nos arquivos do sistema) Soma de verificação criptográfica Nagios Monitoramento de Serviços Monitoramento de espaço em disco, processador, etc. Paralização de serviços Etc…

26. Tripwire Manager

27. Nagios

28. Nessus

29. Inventário O princípio básico da segurança é conhecer as necessidades e vulnerabilidades É muito importante ter um inventário de hw e sw Software não só para licenciamento, mas também para buscar programas “suspeitos” inclusive P2P Existem soluções para todos os mundos

30. PDSI Plano Diretor de Segurança da Informação Tem sido a grande vedete e também a grande vilã Existem problemas legais que precisam ser resolvidos e não dependem apenas da comunidade tecnológica Um empresa que “pensa” segurança precisa ter ao menos um “rascunho” Regras: “ melhor ter algumas, por pior que sejam, do que não ter nenhuma ” Simples e objetivo  factível A regra para elaboração de um PDSI é bom senso Auxílio de quem já fez é sempre positivo

31. Contato Marcelo Piuma Diretor de Tecnologia [email_address] www.duettech.com.br Av. do Batel, 1230 / 501 – BTC Curitiba - Paraná (41) 3077-1919 Ramal 18